Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Backdoor.Tidserv in ftdisk.sik

Backdoor.Tidserv in ftdisk.sik


Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sik

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 16.09.2010, 17:23   #9
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik


Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden?

Hier das CF-Log:

Code:
ATTFilter
ComboFix 10-09-15.03 - xxx 16.09.2010  18:14:11.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1917.1500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated) {804E5358-FFA4-00FC-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {F33C2C6C-FFA4-00DA-0D24-347CA8A3377C}
AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-08-16 bis 2010-09-16  ))))))))))))))))))))))))))))))
.

2010-09-15 22:33 . 2010-09-15 22:36    --------    d-----w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\NPE
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\programme\Malwarebytes' Anti-Malware
2010-09-15 19:48 . 2010-09-15 19:48    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2010-09-15 19:48 . 2010-04-29 10:19    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-15 19:48 . 2010-04-29 10:19    20952    ----a-w-    c:\windows\system32\drivers\mbam.sys
2010-09-15 19:10 . 2010-09-15 19:10    161296    ----a-w-    c:\windows\system32\drivers\tmcomm.sys
2010-09-11 10:35 . 2010-09-11 10:35    388096    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2010-09-05 15:10 . 2010-09-05 15:10    503808    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcp71.dll
2010-09-05 15:10 . 2010-09-05 15:10    499712    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\jmc.dll
2010-09-05 15:10 . 2010-09-05 15:10    348160    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-4d9f5c84-n\msvcr71.dll
2010-09-05 15:10 . 2010-09-05 15:10    61440    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-sse.dll
2010-09-05 15:10 . 2010-09-05 15:10    12800    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-1d8c51e0-n\decora-d3d.dll
2010-09-05 11:02 . 2010-07-17 03:00    423656    ----a-w-    c:\windows\system32\deployJava1.dll
2010-09-05 10:56 . 2010-09-05 10:56    --------    d-----w-    c:\programme\Defraggler
2010-09-05 10:55 . 2010-09-05 10:55    --------    d-----w-    c:\programme\Microsoft.NET
2010-09-05 10:46 . 2010-07-20 13:05    81920    ----a-w-    c:\windows\system32\igfxCoIn_v5284.dll
2010-09-05 09:41 . 2010-09-05 09:41    --------    d-----w-    c:\programme\NT Registry Optimizer
2010-09-05 08:35 . 2010-07-29 03:33    666672    ----a-r-    c:\windows\system32\drivers\SymEFA.sys
2010-09-05 08:35 . 2010-07-29 02:54    50096    ----a-r-    c:\windows\system32\drivers\srtspx.sys
2010-09-05 08:35 . 2010-07-13 01:20    369072    ----a-r-    c:\windows\system32\drivers\symtdi.sys
2010-09-05 08:35 . 2010-06-27 04:05    134704    ----a-r-    c:\windows\system32\drivers\Ironx86.sys
2010-09-05 08:35 . 2010-06-13 10:50    339504    ----a-r-    c:\windows\system32\drivers\SymDS.sys
2010-09-05 07:58 . 2010-09-05 08:35    60808    ----a-w-    c:\windows\system32\S32EVNT1.DLL
2010-09-05 07:58 . 2010-09-05 08:35    126512    ----a-w-    c:\windows\system32\drivers\SYMEVENT.SYS
2010-09-05 07:58 . 2010-09-05 08:02    --------    d-----w-    c:\programme\Gemeinsame Dateien\Symantec Shared
2010-09-05 07:58 . 2010-09-05 08:38    --------    d-----w-    c:\windows\system32\drivers\NIS
2010-09-05 07:58 . 2010-09-05 08:43    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Norton Internet Security
2010-09-05 07:58 . 2010-09-05 07:58    --------    d-----w-    c:\programme\Windows Sidebar
2010-09-05 07:54 . 2010-09-05 07:54    --------    d-----w-    c:\programme\NortonInstaller
2010-09-05 03:09 . 2010-09-05 04:18    --------    d-----w-    C:\NBRT
2010-09-04 18:21 . 2010-09-05 07:57    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NortonInstaller
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\windows\system32\wbem\Repository
2010-09-04 16:49 . 2010-09-04 16:49    --------    d-----w-    c:\programme\Gemeinsame Dateien\Skype
2010-09-04 15:37 . 2010-09-04 15:40    --------    d-s---w-    c:\dokumente und einstellungen\Administrator\Eigene Dateien
2010-09-04 15:27 . 2010-09-04 15:27    --------    d-----w-    c:\dokumente und einstellungen\Administrator\IETldCache
2010-09-04 15:15 . 2010-09-04 15:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\PrivacIE

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-16 14:42 . 2008-02-01 15:33    --------    d-----w-    c:\programme\Mozilla Thunderbird
2010-09-15 22:28 . 2006-11-26 17:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Spybot - Search & Destroy
2010-09-15 19:18 . 2009-12-17 18:41    --------    d-----w-    c:\programme\SystemRequirementsLab
2010-09-15 17:25 . 2008-02-01 14:30    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\FileZilla
2010-09-15 17:20 . 2009-06-03 12:01    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Skype
2010-09-15 17:20 . 2008-08-18 20:06    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\skypePM
2010-09-14 23:11 . 2009-09-20 18:50    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\vlc
2010-09-13 15:57 . 2007-12-05 20:13    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Winamp
2010-09-13 15:53 . 2007-03-12 18:01    --------    d-----w-    c:\programme\Winamp
2010-09-13 15:53 . 2010-03-25 18:05    --------    d-----w-    c:\programme\Winamp Detect
2010-09-11 15:46 . 2010-07-04 15:31    --------    d-----w-    c:\programme\ICQ7.1
2010-09-11 10:30 . 2008-09-15 17:34    --------    d-----w-    c:\programme\KONAMI
2010-09-11 09:46 . 2010-05-06 21:58    16    ----a-w-    c:\windows\msocreg32.dat
2010-09-08 17:47 . 2005-01-07 18:21    --------    d-----w-    c:\programme\Gemeinsame Dateien\Adobe
2010-09-08 17:25 . 2010-07-06 21:49    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\regid.1986-12.com.adobe
2010-09-05 20:01 . 2004-08-04 12:00    126336    ----a-w-    c:\windows\system32\drivers\ftdisk.sik
2010-09-05 11:15 . 2007-01-03 14:15    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Media Player Classic
2010-09-05 11:02 . 2006-11-03 12:05    --------    d-----w-    c:\programme\Gemeinsame Dateien\Java
2010-09-05 11:02 . 2004-11-18 14:17    --------    d-----w-    c:\programme\Java
2010-09-05 10:58 . 2004-08-04 12:00    94746    ----a-w-    c:\windows\system32\perfc007.dat
2010-09-05 10:58 . 2004-08-04 12:00    502424    ----a-w-    c:\windows\system32\perfh007.dat
2010-09-05 10:46 . 2009-09-23 15:34    --------    d-----w-    c:\programme\CCleaner
2010-09-05 08:35 . 2010-09-05 07:58    805    ----a-w-    c:\windows\system32\drivers\SYMEVENT.INF
2010-09-05 08:35 . 2010-09-05 07:58    7456    ----a-w-    c:\windows\system32\drivers\SYMEVENT.CAT
2010-09-05 08:35 . 2004-11-18 14:14    --------    d-----w-    c:\programme\Symantec
2010-09-05 08:27 . 2010-07-25 20:49    1324    ----a-w-    c:\windows\system32\d3d9caps.dat
2010-09-04 16:49 . 2009-06-03 12:00    --------    d-----r-    c:\programme\Skype
2010-09-04 16:49 . 2006-12-29 19:09    --------    d-----w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Skype
2010-09-04 16:48 . 2008-12-04 16:18    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\dvdcss
2010-09-01 17:50 . 2010-05-26 15:00    87    ----a-w-    c:\windows\system32\ssprs.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    73    ----a-w-    c:\windows\system32\ssprs.dll.vir
2010-09-01 17:50 . 2010-05-26 15:00    219    ----a-w-    c:\windows\system32\lsprst7.tgz.vir
2010-09-01 17:50 . 2010-05-26 15:00    205    ----a-w-    c:\windows\system32\lsprst7.dll.vir
2010-08-23 18:18 . 2010-01-16 15:54    --------    d-----w-    c:\programme\PokerStars
2010-08-22 14:15 . 2007-04-19 12:47    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\ICQ
2010-08-17 13:17 . 2004-08-04 12:00    58880    ----a-w-    c:\windows\system32\spoolsv.exe
2010-08-07 18:20 . 2010-08-07 18:20    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers
2010-08-07 18:20 . 2010-05-15 15:48    --------    d-----w-    c:\programme\Gemeinsame Dateien\DVDVideoSoft
2010-08-07 18:20 . 2009-07-29 19:48    --------    d-----w-    c:\programme\DVDVideoSoft
2010-08-03 21:08 . 2009-07-20 20:19    --------    d-----w-    c:\programme\TrackMania Nations ESWC
2010-08-03 20:29 . 2010-06-21 21:19    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Amazon
2010-08-03 20:26 . 2006-11-30 19:36    70880    -c--a-w-    c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-07-31 17:01 . 2008-11-06 23:31    1    ----a-w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-07-31 16:31 . 2008-06-07 22:36    --------    d-----w-    c:\programme\phase5
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Antares
2010-07-24 15:24 . 2010-07-24 15:24    --------    d-----w-    c:\programme\Antares Audio Technologies
2010-07-24 15:24 . 2006-11-06 18:56    --------    d-----w-    c:\programme\VstPlugins
2010-07-23 23:47 . 2008-02-01 14:30    --------    d-----w-    c:\programme\FileZilla FTP Client
2010-07-22 15:48 . 2004-08-04 12:00    590848    ----a-w-    c:\windows\system32\rpcrt4.dll
2010-07-22 06:19 . 2008-05-05 05:25    5632    ----a-w-    c:\windows\system32\xpsp4res.dll
2010-07-20 12:58 . 2009-07-13 12:44    4123648    ----a-w-    c:\windows\system32\igxpdx32.dll
2010-07-20 12:57 . 2009-07-13 12:44    3482432    ----a-w-    c:\windows\system32\igxpdv32.dll
2010-07-20 12:57 . 2009-07-13 12:44    2003584    ----a-w-    c:\windows\system32\drivers\igxpmp32.sys
2010-07-20 12:57 . 2009-07-13 12:44    982240    ----a-w-    c:\windows\system32\igkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    58368    ----a-w-    c:\windows\system32\igxprd32.dll
2010-07-20 12:57 . 2009-07-13 12:44    439308    ----a-w-    c:\windows\system32\igcompkrng500.bin
2010-07-20 12:57 . 2009-07-13 12:44    182784    ----a-w-    c:\windows\system32\igxpgd32.dll
2010-07-20 12:45 . 2009-07-13 12:44    10963456    ----a-w-    c:\windows\system32\ig4icd32.dll
2010-07-20 12:37 . 2009-07-13 12:44    129536    ----a-w-    c:\windows\system32\igfxtray.exe
2010-07-20 12:37 . 2009-07-13 12:44    194048    ----a-w-    c:\windows\system32\igfxpph.dll
2010-07-20 12:36 . 2009-07-13 12:44    163328    ----a-w-    c:\windows\system32\hkcmd.exe
2010-07-20 12:36 . 2009-07-13 12:44    138752    ----a-w-    c:\windows\system32\igfxpers.exe
2010-07-20 12:36 . 2009-07-13 12:44    23552    ----a-w-    c:\windows\system32\igfxexps.dll
2010-07-20 12:36 . 2009-07-13 12:44    172032    ----a-w-    c:\windows\system32\igfxext.exe
2010-07-20 12:36 . 2009-07-13 12:44    130048    ----a-w-    c:\windows\system32\igfxdo.dll
2010-07-20 12:36 . 2009-07-13 12:44    57344    ----a-w-    c:\windows\system32\igfxsrvc.dll
2010-07-20 12:36 . 2009-07-13 12:44    257536    ----a-w-    c:\windows\system32\igfxsrvc.exe
2010-07-20 12:36 . 2009-12-17 18:45    3139584    ----a-w-    c:\windows\system32\GfxUI.exe
2010-07-20 12:36 . 2009-07-13 12:44    94720    ----a-w-    c:\windows\system32\hccutils.dll
2010-07-20 12:36 . 2009-12-17 18:45    121344    ----a-w-    c:\windows\system32\gfxSrvc.dll
2010-07-20 12:36 . 2009-12-17 18:45    4096    ----a-w-    c:\windows\system32\IGFXDEVLib.dll
2010-07-20 12:36 . 2009-07-13 12:44    214016    ----a-w-    c:\windows\system32\igfxdev.dll
2010-07-20 12:35 . 2009-07-13 12:44    828928    ----a-w-    c:\windows\system32\igfxress.dll
2010-07-06 21:31 . 2010-07-06 21:31    10134    ----a-r-    c:\dokumente und einstellungen\xxx\Anwendungsdaten\Microsoft\Installer\{024521CF-C07E-4F8E-8481-0D75695E03AF}\ARPPRODUCTICON.exe
2010-07-06 21:28 . 2010-07-06 21:28    38784    ----a-w-    c:\dokumente und einstellungen\Default User.WINDOWS\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2010-06-30 12:28 . 2004-08-04 12:00    149504    ----a-w-    c:\windows\system32\schannel.dll
2010-06-26 16:12 . 2010-06-26 16:12    2568656    ----a-w-    c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\NOS\Adobe_Downloads\install_flash_player.exe
2010-06-24 12:22 . 2004-08-04 12:00    916480    ----a-w-    c:\windows\system32\wininet.dll
2010-06-24 09:02 . 2004-08-04 12:00    1852032    ----a-w-    c:\windows\system32\win32k.sys
2010-06-21 15:27 . 2004-08-04 12:00    354304    ----a-w-    c:\windows\system32\drivers\srv.sys
2010-06-18 17:44 . 2004-08-04 12:00    293888    ----a-w-    c:\windows\system32\winsrv.dll
2009-12-27 18:45 . 2009-12-27 18:45    561    ----a-w-    c:\programme\StandaloneRecallCCAssign.f8c
2009-12-27 18:45 . 2009-12-27 18:45    1072    ----a-w-    c:\programme\StandaloneRecall.fm8
2001-11-05 07:30 . 2009-02-28 13:54    165376    ------w-    c:\programme\UNWISE.EXE
2009-05-01 21:02 . 2009-05-01 21:02    1044480    ----a-w-    c:\programme\mozilla firefox\plugins\libdivx.dll
2009-05-01 21:02 . 2009-05-01 21:02    200704    ----a-w-    c:\programme\mozilla firefox\plugins\ssldivx.dll
2007-05-13 21:08 . 2007-05-13 21:08    5    -csha-w-    c:\windows\system32\bcadadfeee_d.dll
2007-05-13 21:06 . 2007-05-13 21:06    5    -csha-w-    c:\windows\system32\bcadadfeee_s.dll
.

(((((((((((((((((((((((((((((   SnapShot@2010-09-16_15.14.00   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-16 16:14 . 2010-09-16 16:14    16384              c:\windows\Temp\Perflib_Perfdata_29c.dat
+ 2010-09-16 16:13 . 2010-09-16 16:13    16384              c:\windows\Temp\Perflib_Perfdata_25c.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\programme\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
"H2O"="c:\programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 307200]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"IMEKRMIG6.1"="c:\windows\ime\imkr6_1\IMEKRMIG.EXE" [2004-08-04 44032]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-20 129536]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-20 163328]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-20 138752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 11 (0xb)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ       autocheck autochk *\0sprestrt

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"LexBceS"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"ctfmon.exe"=c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HotKeysCmds"=c:\windows\system32\hkcmd.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"c:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\ICQ7.1\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 stwlfbus;stwlfbus;c:\windows\system32\drivers\stwlfbus.sys [27.04.2003 12:39 8704]
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1201000.025\SymDS.sys [05.09.2010 10:35 339504]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1201000.025\SymEFA.sys [05.09.2010 10:35 666672]
R1 BHDrvx86;BHDrvx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20100901.003\BHDrvx86.sys [01.09.2010 00:57 692272]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1201000.025\Ironx86.sys [05.09.2010 10:35 134704]
R2 NIS;Norton Internet Security;c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe [05.09.2010 10:35 126904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [19.04.2007 16:23 33792]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [05.09.2010 10:02 102448]
R3 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20100914.003\IDSXpx86.sys [16.09.2010 16:51 331640]
R3 st3wolf;st3wolf;c:\windows\system32\drivers\st3wolf.sys [27.04.2003 11:43 99360]
S1 as6eio;as6eio;c:\windows\system32\drivers\as6eio.SYS --> c:\windows\system32\drivers\as6eio.SYS [?]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [24.12.2009 13:52 135664]
S3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [18.12.2009 10:58 11336]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [03.01.2010 19:57 13224]
S3 s1018bus;Sony Ericsson Device 1018 driver (WDM);c:\windows\system32\drivers\s1018bus.sys [05.10.2009 19:24 86824]
S3 s1018mdfl;Sony Ericsson Device 1018 USB WMC Modem Filter;c:\windows\system32\drivers\s1018mdfl.sys [05.10.2009 19:24 15016]
S3 s1018mdm;Sony Ericsson Device 1018 USB WMC Modem Driver;c:\windows\system32\drivers\s1018mdm.sys [05.10.2009 19:24 114728]
S3 s1018mgmt;Sony Ericsson Device 1018 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s1018mgmt.sys [05.10.2009 19:24 106208]
S3 s1018nd5;Sony Ericsson Device 1018 USB Ethernet Emulation (NDIS);c:\windows\system32\drivers\s1018nd5.sys [05.10.2009 19:24 26024]
S3 s1018obex;Sony Ericsson Device 1018 USB WMC OBEX Interface;c:\windows\system32\drivers\s1018obex.sys [05.10.2009 19:24 104744]
S3 s1018unic;Sony Ericsson Device 1018 USB Ethernet Emulation (WDM);c:\windows\system32\drivers\s1018unic.sys [05.10.2009 19:24 109864]
S3 SampleScanner;Ultima2000  Scanner;c:\windows\system32\DRIVERS\GT680x.sys --> c:\windows\system32\DRIVERS\GT680x.sys [?]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.07.2009 01:12 722416]
.
Inhalt des "geplante Tasks" Ordners

2010-09-15 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 03:08]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]

2010-09-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-12-24 11:52]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Free YouTube to Mp3 Converter - c:\dokumente und einstellungen\xxx\Anwendungsdaten\DVDVideoSoftIEHelpers\youtubetomp3.htm
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: {{71BFC818-0CED-42D6-9C87-5142918957EE} - c:\programme\ICQ7.1\ICQ.exe
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\xxx\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&q=
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\coFFPlgn\components\coFFPlgn.dll
FF - component: c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\IPSFFPlgn\components\IPSFFPl.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npwachk.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: content.max.tokenizing.time - 200000
FF - user.js: content.notify.interval - 100000
FF - user.js: nglayout.initialpaint.delay - 300
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: content.switch.threshold - 650000
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
------- Dateityp-Verknüpfung -------
.
.txt=
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-09-16 18:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, hxxp://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A3E1DC8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xb98ecf28
\Driver\ACPI -> ACPI.sys @ 0xb977ecb8
\Driver\atapi -> 0x8a3e1dc8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
 ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168D(P)/8111D(P) PCI-E Gigabit Ethernet NIC #2 -> SendCompleteHandler -> NDIS.sys @ 0xb952fbb0
 PacketIndicateHandler -> NDIS.sys @ 0xb953ca21
 SendHandler -> NDIS.sys @ 0xb951a87b
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\18.1.0.37\ccSvcHst.exe\" /s \"NIS\" /m \"c:\programme\Norton Internet Security\Engine\18.1.0.37\diMaster.dll\" /prefetch:1"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{446BEBFF-0A4E-CE2F-AC7E-C1E8C86F13E0}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iadbiiibeagnjnadmd"=hex:6a,61,6d,65,62,65,70,67,6f,6e,67,64,6a,6f,61,6c,6f,6d,
   6b,69,00,06
"habbgiihkmpljcpi"=hex:6a,61,6d,65,70,64,66,6a,66,65,61,63,61,6e,68,6e,63,63,
   68,6a,00,4d

[HKEY_USERS\S-1-5-21-1123561945-602609370-725345543-1005\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:59,2f,a4,60,15,54,71,e3,47,70,a8,23,60,88,03,a4,6c,dd,4d,1e,95,78,36,
   7d,71,f3,84,2e,20,4f,d5,99,21,7b,1c,15,6a,95,32,26,32,1f,4f,e0,1c,36,86,f6,\
"??"=hex:5d,2e,bc,00,9b,07,bc,9c,34,34,87,88,c9,ab,ca,0d

[HKEY_LOCAL_MACHINE\software\Classes\Applications\WINWORD.EXE\shell]
@DACL=(02 0000)
@="Open"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10g_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2010-09-16  18:19:54
ComboFix-quarantined-files.txt  2010-09-16 16:19
ComboFix2.txt  2010-09-16 15:15

Vor Suchlauf: 23 Verzeichnis(se), 135.289.184.256 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 135.274.700.800 Bytes frei

- - End Of File - - A7027AFEB2BD7042E98C1AA076F40EA4

 

Themen zu Backdoor.Tidserv in ftdisk.sik
adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp


« Befall mit TR/Crypt.XPACK.Gen und TR/Crypt.XPACK.Gen3 | Nach Installation von AntiVir geht nichts mehr. Heftiger Virus? »


Ähnliche Themen: Backdoor.Tidserv in ftdisk.sik


  1. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Boot.tidserv entfernen
    Log-Analyse und Auswertung - 09.02.2012 (16)
  4. Backdoor.Tidserv auf dem Rechner - vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (17)
  5. Https tidserv request
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (10)
  6. Brauche Anleitung bei Entfernung von HTTPS TIDSERV REQUEST 2
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (7)
  7. Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (30)
  8. Backdoor.Bot / Backdoor.Gootkit / Malware.Trace -> HiJackThis + Malwarebytes logfile
    Log-Analyse und Auswertung - 02.07.2010 (6)
  9. Tidserv Request 2 > svchost.exe, firefox.exe
    Plagegeister aller Art und deren Bekämpfung - 28.06.2010 (16)
  10. Win32/PATCHED.DO in C:\WINDOWS\system32\drivers\ftdisk.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (1)
  11. Https Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 16.04.2010 (7)
  12. Backdoor.Tidserv!inf
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (5)
  13. Backdoor.Trojan und Backdoor.Grybird
    Mülltonne - 13.10.2008 (0)
  14. TR/BackDoor.NB
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (4)
  15. Backdoor.GrayBird.K (BackDoor-ARR [McAfee]
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (1)
  16. W32/Backdoor-CFB
    Plagegeister aller Art und deren Bekämpfung - 08.09.2004 (1)
  17. Backdoor.sd.bot
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Backdoor.Tidserv in ftdisk.sik - Hatte eben bei Kaspersky noch Defogger-Fenster offen und Norton an. Vielleicht deshalb nichts gefunden worden? Hier das CF-Log: Code: Alles auswählen Aufklappen ATTFilter ComboFix 10-09-15.03 - xxx 16.09.2010 18:14:11.2.2 - - Backdoor.Tidserv in ftdisk.sik...
Archiv
Du betrachtest: Backdoor.Tidserv in ftdisk.sik auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132