Rootkit.Win32.TDSS.d lässt sich nicht entfernen!

armani · 01.04.2010, 18:00

Hallo,

ich habe grosse Problem mit dieser Ding.Kaspersky findet diese Rootkit,ich habe auch verschiedene Tool benutzt aber nachdem ich die Computer neustarte,ist das Ding wieder da.Ich benutze Win XP Pro.Ich bitte um Hilfe.

cosinus · 02.04.2010, 17:22

Hallo und

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Falls Du Probleme mit Malwarebytes hast (startet nicht, Updates laden nicht etc.), das hier beachten > http://www.trojaner-board.de/82699-m...tet-nicht.html

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Falls RSIT nicht startet: im Kompatibilitätsmodus ausführen (Rechtsklick auf RSIT.exe, Reiter Kompatibilität) => Windows XP einstellen und ausführen

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

armani · 02.04.2010, 20:41

Hallo,danke für die Anwort. Hier ist die Lofile Archive

hxxp://www.file-upload.net/download-2402144/logfiles.rar.html

cosinus · 02.04.2010, 21:01

Im Log seh ich, dass Du Combofix ausgeführt hast. Bitte auch das Log posten.

armani · 02.04.2010, 21:47

Hier ist das Log von ComboFix

ComboFix 10-04-01.02 - *** 02.04.2010 22:28:45.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.2014.1592 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\4G7K5u7m.exe
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\AppPatch\AcAdProc.dll
c:\windows\system32\TpShocks .exe
c:\windows\Temp\11.exe

----- BITS: Eventuell infizierte Webseiten -----

hxxp://download.yimg.com
.
((((((((((((((((((((((( Dateien erstellt von 2010-03-02 bis 2010-04-02 ))))))))))))))))))))))))))))))
.

2010-04-02 19:29 . 2010-04-02 19:29 -------- d-----w- c:\programme\trend micro
2010-04-02 19:29 . 2010-04-02 19:40 -------- d-----w- C:\rsit
2010-04-02 19:10 . 2010-03-29 13:24 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-02 19:10 . 2010-03-29 13:24 20824 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-02 19:01 . 2010-04-02 19:01 -------- d-----w- c:\programme\CCleaner
2010-04-01 13:50 . 2010-04-01 13:50 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2010-04-01 11:34 . 2010-04-01 11:34 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Yahoo!
2010-04-01 11:34 . 2010-04-01 11:34 -------- d-----r- c:\dokumente und einstellungen\NetworkService\Favoriten
2010-04-01 09:30 . 2010-04-02 19:10 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-04-01 09:04 . 2010-04-01 09:04 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Eigene Dateien
2010-04-01 09:04 . 2010-04-01 09:04 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-04-01 09:04 . 2010-04-01 09:04 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Adobe
2010-03-25 18:59 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-24 18:57 . 2010-03-24 18:57 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FlashFXP
2010-03-18 09:20 . 2010-03-18 09:21 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ShareTV(2)
2010-03-18 09:13 . 2010-03-18 09:14 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ShareTV
2010-03-18 08:04 . 2010-03-18 08:05 -------- d-----w- c:\programme\AltBinz
2010-03-10 17:54 . 2010-03-10 17:54 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity
2010-03-09 22:18 . 2010-03-09 22:18 932368 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\profiles-1-6.dll
2010-03-09 22:18 . 2010-03-09 22:18 678416 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\content_interpreter-1-1.dll
2010-03-09 22:18 . 2010-03-09 22:18 604688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\gsg-3-9.dll
2010-03-09 22:18 . 2010-03-09 22:18 522768 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\database-1-5.dll
2010-03-09 22:18 . 2010-03-09 22:18 1096208 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\filtration-4-6.dll
2010-03-09 22:17 . 2010-03-09 22:17 80400 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-03-09 22:17 . 2010-03-09 22:17 80400 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\fssync.dll
2010-03-09 21:57 . 2010-03-09 21:57 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2010-03-09 21:57 . 2010-03-09 21:57 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2010-03-09 21:56 . 2010-04-02 19:23 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-03-09 21:56 . 2010-03-09 21:56 -------- d-----w- c:\programme\Kaspersky Lab
2010-03-09 21:55 . 2010-03-09 21:55 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-03-07 12:47 . 2010-03-07 12:47 -------- d-----w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\cache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-02 20:20 . 2009-09-30 22:10 134783 ----a-w- c:\windows\system32\nvModes.dat
2010-04-02 19:25 . 2009-09-30 23:07 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\DMCache
2010-04-02 19:22 . 2010-01-21 11:32 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Babylon
2010-04-01 21:22 . 2009-11-23 23:37 -------- d-----w- c:\programme\Full Tilt Poker
2010-04-01 20:06 . 2004-08-03 20:59 95360 ----a-w- c:\windows\system32\drivers\atapi.sys
2010-04-01 16:20 . 2010-01-21 11:32 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Babylon
2010-04-01 11:51 . 2009-10-04 11:45 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2010-04-01 11:49 . 2009-11-13 14:17 -------- d-----w- c:\programme\Replay Media Catcher
2010-04-01 11:48 . 2009-11-09 06:26 -------- d-----w- c:\programme\DAEMON Tools Lite
2010-04-01 11:33 . 2010-04-01 11:31 112 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\KvF07w.dat
2010-03-31 20:56 . 2010-01-16 23:30 -------- d-----w- c:\programme\JDownloader
2010-03-28 10:23 . 2001-08-23 12:00 80306 ----a-w- c:\windows\system32\perfc007.dat
2010-03-28 10:23 . 2001-08-23 12:00 449044 ----a-w- c:\windows\system32\perfh007.dat
2010-03-17 14:29 . 2010-01-04 16:28 -------- d-----w- c:\programme\SystemRequirementsLab
2010-03-11 12:31 . 2004-08-03 22:57 832512 ------w- c:\windows\system32\wininet.dll
2010-03-11 12:31 . 2004-08-03 22:57 78336 ------w- c:\windows\system32\ieencode.dll
2010-03-11 12:31 . 2004-08-03 22:57 17408 ------w- c:\windows\system32\corpol.dll
2010-03-10 22:58 . 2010-01-07 02:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2010-03-03 15:47 . 2010-02-01 10:58 -------- d-----w- c:\programme\Unlocker
2010-03-03 15:43 . 2009-11-13 14:18 156672 ----a-w- c:\windows\system32\rmc_fixasf.exe
2010-03-03 15:43 . 2009-11-13 14:18 237568 ----a-w- c:\windows\system32\rmc_rtspdl.dll
2010-02-26 08:57 . 2010-02-26 08:56 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\ScreeNet iSaver
2010-02-26 08:56 . 2010-02-26 08:56 -------- d-----w- c:\programme\iSaver
2010-02-26 08:56 . 2009-09-30 22:25 -------- d--h--w- c:\programme\InstallShield Installation Information
2010-02-12 10:45 . 2009-10-03 16:24 -------- d-----w- c:\programme\Ultra Video Splitter
2010-02-09 14:25 . 2010-02-09 14:25 -------- d-----w- c:\windows\system32\config\systemprofile\Anwendungsdaten\Intel
2010-02-09 14:25 . 2010-02-09 14:25 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Intel
2010-02-09 14:24 . 2010-02-09 14:24 -------- d-----w- c:\programme\Intel
2010-02-09 14:24 . 2010-02-09 14:24 -------- d-----w- c:\programme\Gemeinsame Dateien\Intel
2010-02-09 14:24 . 2010-02-09 14:24 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Intel
2010-02-09 14:12 . 2009-12-21 21:27 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Move Networks
2010-02-05 18:55 . 2010-02-05 18:55 391792 ----a-w- c:\windows\qfe2.tmp
2010-02-05 18:48 . 2010-02-05 18:48 -------- d--h--r- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Atheros
2010-02-05 18:47 . 2009-09-30 22:29 -------- d-----w- c:\programme\Lenovo
2010-02-05 18:46 . 2009-09-30 22:07 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2010-02-05 00:36 . 2010-02-05 00:36 391792 ----a-w- c:\windows\qfe57C.tmp
2010-02-01 14:45 . 2010-02-01 14:45 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\Sleep.exe
2010-02-01 14:45 . 2010-02-01 14:45 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\msxml6Exec.exe
2010-02-01 14:45 . 2010-02-01 14:45 3181612 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\Installer\CommonCustomActions\vcredistExec.exe
2010-02-01 14:45 . 2010-02-01 14:46 24513336 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{F983B4FE-547B-4C44-BAF7-4F4DBA93D548}\NokiaSoftwareUpdaterSetup_de_2.exe
2010-02-01 14:19 . 2009-10-15 18:29 29888 ----a-w- c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-02-01 13:09 . 2010-02-01 13:09 95232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\pcswpcsi.exe
2010-02-01 13:09 . 2010-02-01 13:09 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstCCD.exe
2010-02-01 13:09 . 2010-02-01 13:09 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-02-01 13:09 . 2010-02-01 13:09 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCS.exe
2010-02-01 13:03 . 2010-02-01 13:09 34503088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Nokia_PC_Suite_ger_web.exe
2010-01-15 01:25 . 2010-01-15 01:25 95232 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\pcswpcsi.exe
2010-01-15 01:25 . 2010-01-15 01:25 8192 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstCCD.exe
2010-01-15 01:25 . 2010-01-15 01:25 61440 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCSFEMsi.exe
2010-01-15 01:25 . 2010-01-15 01:25 10240 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Installer\CommonCustomActions\UninstPCS.exe
2010-01-15 01:24 . 2010-01-15 01:25 33681080 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{9249D7E7-33E7-4CC8-BB0B-3DF3C3CB2568}\Nokia_PC_Suite_7_1_40_1_ger_web.exe
2010-01-03 11:29 . 2009-10-01 15:24 1924200 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2009-12-04 10:01 . 2009-12-04 10:00 80 --sh--r- c:\windows\system32\2AE981EDE2.dll
.

Code:

ATTFilter

<pre>
c:\programme\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\programme\Analog Devices\Core\smax4pnp .exe
c:\programme\DAEMON Tools Lite\DTLite .exe
c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM .exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck .exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor .exe
c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched .exe
c:\programme\Java\jre6\bin\jusched .exe
c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp .exe
c:\programme\Lenovo\HOTKEY\TPOSDSVC .exe
c:\programme\Nokia\Nokia PC Suite 7\PCSuite .exe
c:\programme\Replay Media Catcher\FLVSrvc .exe
c:\programme\Syncrosoft\POS\H2O\cledx .exe
c:\programme\Windows Live\Messenger\msnmsgr  .exe
c:\programme\Yahoo!\Messenger\YahooMessenger .exe
c:\windows\ime\imjp8_1\IMJPMIG .exe
</pre>

((((((((((((((((((((((((((((( SnapShot@2010-04-01_11.27.11 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-02 20:24 . 2010-04-02 20:24 16384 c:\windows\Temp\Perflib_Perfdata_114.dat
- 2009-09-09 17:01 . 2009-09-09 17:01 27675 c:\windows\system32\drivers\klopp.dat
+ 2009-09-09 16:01 . 2009-09-09 16:01 27675 c:\windows\system32\drivers\klopp.dat
- 2009-10-02 17:39 . 2009-10-02 17:39 19472 c:\windows\system32\drivers\klmouflt.sys
+ 2009-10-02 17:39 . 2009-10-02 16:39 19472 c:\windows\system32\drivers\klmouflt.sys
+ 2009-09-14 11:42 . 2009-09-14 11:42 32272 c:\windows\system32\drivers\klim5.sys
- 2009-09-14 12:42 . 2009-09-14 12:42 32272 c:\windows\system32\drivers\klim5.sys
- 2009-10-14 19:18 . 2009-10-14 19:18 36880 c:\windows\system32\drivers\klbg.sys
+ 2009-10-14 19:18 . 2009-10-14 18:18 36880 c:\windows\system32\drivers\klbg.sys
+ 2004-08-03 20:59 . 2010-04-01 16:13 95360 c:\windows\system32\dllcache\atapi.sys
- 2009-09-30 22:04 . 2010-03-26 22:53 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-09-30 22:04 . 2010-04-01 19:31 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2009-09-30 22:04 . 2010-04-01 19:31 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2009-09-30 22:04 . 2010-03-26 22:53 32768 c:\windows\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2009-09-30 22:04 . 2010-03-26 22:53 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2010-04-01 19:29 . 2010-04-01 19:31 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2009-10-20 17:34 . 2009-10-20 17:34 219664 c:\windows\system32\klogon.dll
- 2009-10-20 18:34 . 2009-10-20 18:34 219664 c:\windows\system32\klogon.dll
+ 2010-03-09 21:55 . 2009-11-11 14:35 315408 c:\windows\system32\drivers\klif.sys
- 2010-03-09 21:55 . 2010-03-09 21:55 315408 c:\windows\system32\drivers\klif.sys
+ 2009-09-01 12:29 . 2009-09-01 12:29 128016 c:\windows\system32\drivers\kl1.sys
- 2009-09-01 13:29 . 2009-09-01 13:29 128016 c:\windows\system32\drivers\kl1.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IDMan"="c:\programme\Internet Download Manager\IDMan.exe" [2009-05-27 2815408]
"msnmsgr"="c:\programme\Windows Live\Messenger\msnmsgr .exe" [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-03-21 13524992]
"nwiz"="nwiz.exe" [2008-03-21 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-03-21 86016]
"TpShocks"="TpShocks.exe" [N/A]
"NapsterShell"="c:\programme\Napster\napster.exe" [2008-12-18 323216]
"KONICA MINOLTA PagePro 1300WStatusDisplay"="c:\windows\system32\MSTMON_N.EXE" [2004-11-25 151552]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"Babylon Client"="c:\programme\Babylon\Babylon-Pro\Babylon.exe" [2009-05-19 4087696]
"iSaverCtrl"="c:\programme\iSaver\iSaverCtrl.exe" [2009-06-08 1160192]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-10-20 340456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\ThinkPad\Bluetooth Software\BTTray.exe [2007-11-26 576104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2006-09-06 14:37 34344 ----a-w- c:\programme\Lenovo\HOTKEY\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2008-03-17 14:02 34080 ----a-w- c:\programme\Lenovo\HOTKEY\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\VTCGame\\Fifa Online 2\\FF2Client.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14.10.2009 21:18 36880]
R0 TPDIGIMN;TPDIGIMN;c:\windows\system32\drivers\ApsHM86.sys [14.05.2008 16:21 19496]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [14.12.2009 21:34 33792]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 13:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.10.2009 19:39 19472]
R3 MovRVDrv32;MovRVDrv32;c:\windows\system32\drivers\MovRVDrv32.sys [06.10.2009 15:30 3768]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [09.11.2009 08:26 691696]
S2 MLPTDR_N;MLPTDR_N;c:\windows\system32\MLPTDR_N.SYS [18.07.2003 19:44 18848]
S3 NDISKIO;NDISKIO;\??\c:\dokume~1\TUANTR~1\LOKALE~1\Temp\00000e45.nmc\nse\bin\ndiskio.sys --> c:\dokume~1\TUANTR~1\LOKALE~1\Temp\00000e45.nmc\nse\bin\ndiskio.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 nsak;nsak;\??\c:\dokume~1\TUANTR~1\LOKALE~1\Temp\00000e45.nmc\nse\bin\nsak.sys --> c:\dokume~1\TUANTR~1\LOKALE~1\Temp\00000e45.nmc\nse\bin\nsak.sys [?]
S3 SoundMovieServer;SoundMovieServer;c:\windows\system32\snmvtsvc.exe [06.10.2009 16:02 184320]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Download aller Links mit IDM - c:\programme\Internet Download Manager\IEGetAll.htm
IE: Download FLV-Videoinhalt mit IDM - c:\programme\Internet Download Manager\IEGetVL.htm
IE: Download mit IDM - c:\programme\Internet Download Manager\IEExt.htm
IE: Senden an &Bluetooth-Gerät... - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
IE: Senden an Bluetooth - c:\programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
IE: Translate this web page with Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
IE: {{F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - res://c:\programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
DPF: {AC414988-E5BB-4C2C-873B-EA53D2F3D23A} - hxxp://t.live.cctv.com/ieocx/CCTVUpdateInstall.dll
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\g3xa7d9e.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - Yahoo! Deutschland
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\IDM\idmmzcc3\components\idmmzcc.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\g3xa7d9e.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayAccessComponent.dll
FF - component: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\g3xa7d9e.default\extensions\{62760FD6-B943-48C9-AB09-F99C6FE96088}\platform\WINNT\components\ebayShortcutMaker.dll
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\g3xa7d9e.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\g3xa7d9e.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - plugin: c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "hxxp://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-klmdb.sys

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-04-02 22:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, GMER - Rootkit Detector and Remover

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x89CE2AC8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba91cfc3
\Driver\ACPI -> ACPI.sys @ 0xba77ecb8
\Driver\atapi -> atapi.sys @ 0xba7187b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058241c
ParseProcedure -> ntkrnlpa.exe @ 0x8058155c
NDIS: Intel(R) Wireless WiFi Link 4965AG -> SendCompleteHandler -> NDIS.sys @ 0xba612ba0
PacketIndicateHandler -> NDIS.sys @ 0xba601a0b
SendHandler -> NDIS.sys @ 0xba615b31
user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7B8E9164-324D-4A2E-A46D-0165FB2000EC}]
@Denied: (Full) (Everyone)
"scansk"=hex(0):56,6e,2c,70,95,0b,f3,cb,00,09,0b,ec,e4,09,20,27,76,73,d3,25,82,
8e,23,67,e0,07,2a,8d,49,6e,21,0e,2d,cc,31,16,3e,12,3d,ed,00,00,00,00,00,00,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{df5cd28d-1e81-4db1-8a56-4fb21da5066a}]
@Denied: (Full) (Everyone)
"Model"=dword:0000005a
"Therad"=dword:0000001e
"MData"=hex(0):73,d5,cf,b8,a4,07,89,80,31,e4,35,6b,2a,ca,fe,43,b6,1f,81,1f,5a,
1b,4d,36,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,ee,21,46,8f,3c,f2,5c,68,\

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ð•€|ÿÿÿÿ.•€|þ»Ñw*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(2016)
c:\programme\Lenovo\HOTKEY\tphklock.dll
.
Zeit der Fertigstellung: 2010-04-02 22:43:35
ComboFix-quarantined-files.txt 2010-04-02 20:43

Vor Suchlauf: 16 Verzeichnis(se), 15.453.765.632 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 15.363.751.936 Bytes frei

- - End Of File - - 7AF2DD1B587E79F9EEEE06D99B1B7874

cosinus · 03.04.2010, 13:11

Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code:

ATTFilter

Files to delete:
c:\windows\qfe57C.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4G7K5u7m.exe

Drivers to delete:
NDISKIO
nsak

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei file-upload.net hochladen und hier verlinken

armani · 03.04.2010, 18:39

Hier mal den Logfile von Anvenger

Code:

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\windows\qfe57C.tmp" deleted successfully.

Error:  file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4G7K5u7m.exe" not found!
Deletion of file "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4G7K5u7m.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "NDISKIO" deleted successfully.
Driver "nsak" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

und noch die backup Datei

hxxp://www.file-upload.net/download-2404539/backup.zip.html

cosinus · 05.04.2010, 12:17

Sieht ok aus. Mach bitte Kontrollscans (Vollscans) mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

armani · 05.04.2010, 18:45

Malwarebyte Log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 3957

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

05.04.2010 18:17:22
mbam-log-2010-04-05 (18-17-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 183543
Laufzeit: 43 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0039224.exe (Backdoor.Bot) -> No action taken.
C:\System Volume Information\_restore{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0039672.sys (Rootkit.Agent) -> No action taken.

SuperAntiSpyware Log

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/05/2010 at 07:32 PM

Application Version : 4.35.1002

Core Rules Database Version : 4771
Trace Rules Database Version: 2583

Scan type       : Complete Scan
Total Scan Time : 01:02:48

Memory items scanned      : 590
Memory threats detected   : 0
Registry items scanned    : 6088
Registry threats detected : 4
File items scanned        : 78917
File threats detected     : 21

Trojan.Agent/Gen-Replacer[Virut]
	C:\PROGRAMME\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE
	HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\MSNMSGR.EXE
	HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\MSNMSGR.EXE#Path
	C:\DOKUMENTE UND EINSTELLUNGEN\ALL USERS\STARTMENü\PROGRAMME\WINDOWS LIVE\WINDOWS LIVE MESSENGER .LNK
	C:\PROGRAMME\ANALOG DEVICES\CORE\SMAX4PNP.EX_
	C:\PROGRAMME\GEMEINSAME DATEIEN\AHEAD\LIB\NEROCHECK.EX_
	C:\PROGRAMME\GEMEINSAME DATEIEN\AHEAD\LIB\NMBGMONITOR.EX_
	C:\PROGRAMME\JAVA\JRE6\BIN\JUSCHED.EX_
	C:\PROGRAMME\LENOVO\HOTKEY\TPOSDSVC.EX_
	C:\PROGRAMME\NOKIA\NOKIA PC SUITE 7\PCSUITE.EX_
	C:\PROGRAMME\YAHOO!\MESSENGER\YAHOOMESSENGER.EX_
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0035972.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0035970.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0035971.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0035975.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0036030.RBF
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0036129.EXE
	C:\WINDOWS\IME\IMJP8_1\IMJPMIG.EXE.TMP
	C:\WINDOWS\IME\IMJP8_1\IMJPMIG.EX_

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Tuan Tran\Cookies\tuan_tran@atdmt[2].txt
	C:\Dokumente und Einstellungen\Tuan Tran\Cookies\tuan_tran@rambler[1].txt
	C:\Dokumente und Einstellungen\Tuan Tran\Cookies\tuan_tran@media.vtc[1].txt

Trojan.Agent/Gen-Alureon
	HKU\S-1-5-19\Software\h8srt
	HKU\S-1-5-20\Software\h8srt

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{AC6C50E4-DDAF-4E0B-A20A-21C5B947217D}\RP198\A0035843.DLL

cosinus · 05.04.2010, 18:47

Zitat:

Trojan.Agent/Gen-Replacer[Virut]

Oha, hattest Du mal den Virut drauf?

Bitte alle Funde entfernen lassen.

armani · 05.04.2010, 19:15

Ich habe schon alle Funde entfernen gelassen und hab auch schon den Rechner neugestartet,Rootkit bleibt immer noch.

cosinus · 05.04.2010, 19:21

Bei Virut-Befall wäre eine komplette Neuinstallation eh sinnvoller...

achimfischer · 09.04.2010, 09:24

ich hatte das selbe problem, aber durch das kostenlose programm TDSSKiller von kaspersky konnte ich dies beheben.

cosinus · 09.04.2010, 09:38

Ändert nichts daran, dass man beim Virut neu aufsetzen sollte...

ionloner · 12.05.2010, 05:20

Hey ich verstehe gar nicht was falsch gelaufen ist, das sind die Programme von meinem Sohn. Könntest du mir sagen was jetzt zu tun ist?
Ich vestehe die Aufregung nucht, vielleicht könntest du mir erklären warum du mir nich mehr helfen kannst

02.04.2010, 21:01	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rootkit.Win32.TDSS.d lässt sich nicht entfernen! Im Log seh ich, dass Du Combofix ausgeführt hast. Bitte auch das Log posten. __________________ Logfiles bitte immer in CODE-Tags posten

05.04.2010, 12:17	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rootkit.Win32.TDSS.d lässt sich nicht entfernen! Sieht ok aus. Mach bitte Kontrollscans (Vollscans) mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

05.04.2010, 19:21	#12
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rootkit.Win32.TDSS.d lässt sich nicht entfernen! Bei Virut-Befall wäre eine komplette Neuinstallation eh sinnvoller... __________________ Logfiles bitte immer in CODE-Tags posten

09.04.2010, 09:38	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Rootkit.Win32.TDSS.d lässt sich nicht entfernen! Ändert nichts daran, dass man beim Virut neu aufsetzen sollte... __________________ Logfiles bitte immer in CODE-Tags posten

Rootkit.Win32.TDSS.d lässt sich nicht entfernen!

Plagegeister aller Art und deren Bekämpfung: Rootkit.Win32.TDSS.d lässt sich nicht entfernen!