BDS/TDSS.adb, BDS/TDSS.JW und einiges mehr
 

Hallo an alle!
Seid einiger Zeit, bekomme ich immer wieder Meldungen von Antivir die wie folgt lauten: BDS/TDSS.adb
C:\System Volume Information\...\A0005065 und
BDS/TDSS.JW
C:\System Volume Information\...\A0005064.dll
und noch einige andere die ich leider nicht rauskopieren konnte.
Angefangen hat bei mir glaube ich alles mit diesem Google Virus, den ich zum Glück selbst wegbekommen habe mit dem Programm "Trojan Remover",dennoch habe ich noch Probleme das ich z.B. mit keinem Virus programm Updates ziehen kann, dazu kommt noch das mein PC ab und an erst nach dem 2. mal Starten wirklich hoch fährt.
Ich hoffe das reicht erstmal als beschreibung!
Als BEtriebssystem habe ich Win XP
Hier die Hijack:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:21:23, on 12.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZyXEL G-220 v2 Wireless Adapter Utility-Programm.lnk = ?
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe

--
End of file - 3794 bytes

ach das 2. virus Programm habe ich nur als test drauf da ich ja keine updates mehr machen kann.
ich bedank mich schonmal im vorraus und hoffe das ich alles richtig gemacht habe!

Hallo

1.) Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber

Dort alle Treiber, die mit ADS oder TDS beginnen (vermutlich ist es TDSSserv.sys) deaktivieren
=> Rechner neustarten

2.) Deinstalliere folgende Programme (Start => Systemsteuerung => Software):
Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:
3.) Starte HJT => Do a system scan only => Markiere:
=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Ein Log von SuperAntiSpyware posten: http://www.trojaner-board.de/51871-a...tispyware.html

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

7.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe
Editiere die Links und privaten Infos!!

ciao, andreas

sorry aber ich finde keinen treiber der so anfängt. was nun ?
danke schonmal für deine hilfe!

ich hab jetzt einfach schonmal die programme gelöscht (nur Icq Toolbar hat nicht funktioniert) ich weiß nicht ob es hilfrei ist aber ich poste mal die neue HiJack in der hoffnung das es hilft.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:54:47, on 13.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ZyXEL\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\ZyXEL G-220 v2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

--
End of file - 1371 bytes

Na endlich mal ein aufgeräumtes HJT-Log. Schritt 1 und 6 der Liste nicht ausführen. Schritt 3-5 noch ausführen um die Systemwiederherstellung zu säubern und die letzten Reste zu entfernen.

ciao, andreas

So nun müsste ich alles abgearbeitet haben. hier die Logs:

SUPERAntiSpyware Scan Log

Generated 01/14/2009 at 05:08 PM

Application Version : 4.24.1004

Core Rules Database Version : 3688
Trace Rules Database Version: 1664

Scan type : Complete Scan
Total Scan Time : 00:52:11

Memory items scanned : 384
Memory threats detected : 0
Registry items scanned : 3936
Registry threats detected : 2
File items scanned : 72227
File threats detected : 0

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

--------------------------------------------------------------------------
01/13/09 18:46:51 [Info]: BlackLight Engine 2.2.1092 initialized
01/13/09 18:46:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/13/09 18:46:51 [Note]: 7019 4
01/13/09 18:46:51 [Note]: 7005 0
01/13/09 18:47:03 [Note]: 7006 0
01/13/09 18:47:03 [Note]: 7011 1720
01/13/09 18:47:03 [Note]: 7035 0
01/13/09 18:47:03 [Note]: 7026 0
01/13/09 18:47:04 [Note]: 7026 0
01/13/09 18:47:04 [Note]: FSRAW library version 1.7.1024
01/13/09 18:47:30 [Note]: 2000 1012
01/13/09 18:48:09 [Note]: 7007 0

---------------------------------------------------------

Malwarebytes' Anti-Malware 1.32
Datenbank Version: 1648
Windows 5.1.2600 Service Pack 2

13.01.2009 19:23:00
mbam-log-2009-01-13 (19-23-00).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 109841
Laufzeit: 32 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 1
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{c9dfae03-e820-4af2-95ec-a970becfbcb7}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169 85.255.112.173 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Common (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\Microsoft Common\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\Microsoft Common\svchost.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8255.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\TDSS8265.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Ich hoffe ich habe soweit alles richtig gemacht denn die Tage müsste ich mich nochmal wegen dem Pc meiner Freundin melden:) ! Danke nochmal für deine bisherige hilfe! ist nun alles weg und müsste mein antivir dann wieder Updaten?
liebe grüße

Du hattest eine Umleitung in der Ukraine drin. Fast mich verblüfft ist, dass sie im HJT-Log nicht angezeigt wurde. Lass ComboFix doch noch laufen.
Das musst du mir sagen, da ich meine Kristallkugel gerade verlegt habe.

ciao, andreas

ist es denn auch noch notwendig SUPERAntiSpyware im abgesicherten modus durchlaufen zu lassen?( sorry habe da wirklich keine ahnung von) Ach und die updates funktionieren leider noch nicht.

Ich hoffe du machst kein Internetbanking. Nimm den Rechner vom Netz. Neuaufsetzen ist angesagt. Ändere anschliessend alle deine Kennwörter.

ciao, andreas

hä ist es doch so gravierend? mach kein onlinebanking oder sonst sowas.
hatte auch schon neu aufgesetzt hab dabei halt nur C gelöscht.

Ja, leider, auch wenn es am Anfang nicht so aussah.
Dann denke ernsthaft darüber nach, wie du schon wieder infiziert sein kannst.

ciao, andreas

Das einzige was ich gemacht habe war das ich mir die treiber bei Computerbase gezogen hab.Antivir hat von anfang an kein update gemacht.
sollte ich denn alle platten leer räumen ?
Danke für deine hilfe

Lass Combofix laufen und poste das Log. Vielleicht kommen ja Hinweise auf dein Problem. Ich hatte mehrere Fälle, die sich durch externe Datenträger infiziert hattten. Solltest du externe Datenträger haben, dann schliesse sie beim Test mit an.

ciao, andreas

Hier die Log hoffe alles richtig gemacht zu haben.


ComboFix 09-01-13.04 - Administrator 2009-01-14 19:44:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2046.1702 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated)
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-14 bis 2009-01-14 ))))))))))))))))))))))))))))))
.

2009-01-14 17:48 . 2009-01-14 17:48 <DIR> d-------- c:\programme\CCleaner
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-13 19:31 . 2009-01-13 19:31 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-01-13 19:30 . 2009-01-13 19:30 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-01-13 18:48 . 2009-01-13 18:48 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-01-13 18:48 . 2009-01-04 18:38 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-01-13 18:48 . 2009-01-04 18:38 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-01-06 19:09 . 2009-01-06 19:09 <DIR> d-------- c:\programme\DVD Decrypter
2009-01-06 19:07 . 2009-01-06 19:07 <DIR> d-------- c:\programme\DVD Shrink DE
2009-01-06 19:07 . 2009-01-06 19:07 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DVD Shrink
2009-01-06 14:23 . 2009-01-06 14:25 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-01-06 14:20 . 2009-01-13 13:50 <DIR> d-------- c:\programme\Trojan Remover
2009-01-06 14:20 . 2006-05-25 15:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2009-01-06 14:20 . 2003-02-02 20:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2009-01-06 14:20 . 2005-08-26 01:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2009-01-06 14:20 . 2002-03-06 01:00 75,264 --a------ c:\windows\system32\unacev2.dll
2009-01-06 14:20 . 2006-06-19 13:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2009-01-06 14:00 . 2009-01-06 14:00 <DIR> d-------- c:\programme\Avira
2009-01-06 14:00 . 2009-01-06 14:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-03 21:51 . 2001-08-18 04:22 12,288 --a------ c:\windows\system32\drivers\mouhid.sys
2009-01-03 21:51 . 2001-08-18 04:22 12,288 --a--c--- c:\windows\system32\dllcache\mouhid.sys
2009-01-02 10:48 . 2009-01-02 10:48 27,720 --a------ c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-01-02 10:14 . 2009-01-02 10:14 <DIR> d--h----- c:\windows\PIF
2008-12-31 17:45 . 2008-12-31 17:45 400 --a------ c:\windows\ODBC.INI
2008-12-31 17:44 . 2008-12-31 17:44 <DIR> d-------- c:\windows\ShellNew
2008-12-31 17:37 . 2008-12-31 17:46 <DIR> d-------- c:\programme\Microsoft Works
2008-12-31 17:36 . 2008-12-31 17:36 <DIR> d-------- c:\programme\Microsoft Works Suite 2003
2008-12-29 15:22 . 2009-01-04 01:33 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\DivX
2008-12-29 15:09 . 2008-12-29 18:24 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-12-29 14:28 . 2008-12-29 14:28 <DIR> d-------- c:\programme\Gemeinsame Dateien\DVDVideoSoft
2008-12-29 14:28 . 2008-12-29 14:28 <DIR> d-------- c:\programme\DVDVideoSoft
2008-12-29 14:28 . 2008-12-29 14:29 <DIR> d-------- C:\DVDVideoSoft
2008-12-29 14:28 . 2002-01-05 14:37 344,064 --a------ c:\windows\system32\msvcr70.dll
2008-12-28 21:15 . 2008-12-28 21:16 <DIR> d-------- c:\programme\DivX
2008-12-28 20:33 . 2008-12-28 20:33 <DIR> d---s---- c:\dokumente und einstellungen\Administrator\UserData
2008-12-21 20:05 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
2008-12-20 19:59 . 2008-12-20 19:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-12-20 19:54 . 2008-12-20 19:54 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Verimount
2008-12-20 19:45 . 2008-11-07 18:32 2,109,440 -----c--- c:\windows\system32\dllcache\WMVCore.dll
2008-12-20 19:45 . 2008-06-10 18:18 1,053,696 -----c--- c:\windows\system32\dllcache\WMNetmgr.dll
2008-12-20 19:45 . 2008-06-10 01:31 103,936 -----c--- c:\windows\system32\dllcache\logagent.exe
2008-12-20 19:43 . 2008-12-20 19:45 <DIR> d--h----- c:\windows\$hf_mig$
2008-12-20 19:43 . 2008-10-23 13:59 283,648 -----c--- c:\windows\system32\dllcache\gdi32.dll
2008-12-20 19:39 . 2008-12-20 19:40 <DIR> d-------- C:\UpdatePack-Files
2008-12-20 19:31 . 2009-01-11 01:37 <DIR> d-------- c:\programme\ICQToolbar
2008-12-20 19:29 . 2008-12-20 19:32 <DIR> d-------- c:\programme\ICQ6
2008-12-20 19:29 . 2009-01-11 18:08 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2008-12-20 19:06 . 2008-12-20 19:06 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2008-12-20 19:05 . 2008-12-20 19:05 <DIR> d-------- c:\programme\VideoLAN

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-20 18:31 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-20 17:39 --------- d-----w c:\programme\ZyXEL
2008-12-20 17:38 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ESET
2008-12-20 17:36 --------- d-----w c:\programme\Creative
2008-12-20 17:36 --------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Creative
2008-12-20 17:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-12-20 16:51 558,142 ----a-w c:\windows\java\Packages\JVB7ZJFR.ZIP
2008-12-20 16:51 155,995 ----a-w c:\windows\java\Packages\MR7VDFFJ.ZIP
2008-12-20 16:51 --------- d-----w c:\programme\microsoft frontpage
2008-12-20 16:50 --------- d-----w c:\programme\Online-Dienste
2008-12-20 16:50 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2008-12-01 22:13 3,452,928 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2008-12-01 19:51 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2008-11-21 21:47 9,464 ------w c:\windows\system32\drivers\cdralw2k.sys
2008-11-21 21:47 9,336 ------w c:\windows\system32\drivers\cdr4_xp.sys
2008-11-21 21:47 43,528 ------w c:\windows\system32\drivers\PxHelp20.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-22 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-09-01 16:08 173304 c:\programme\ICQ6\ICQ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ZyXEL\\ZyXEL G-220 v2 Wireless Adapter Utility-Programm\\ZyXEL G-220 v2.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2008-12-22 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2008-12-22 55024]
R3 COMMONFX.SYS;COMMONFX.SYS;c:\windows\system32\drivers\COMMONFX.sys [2008-08-21 99352]
R3 CTAUDFX.SYS;CTAUDFX.SYS;c:\windows\system32\drivers\CTAUDFX.sys [2008-08-21 555032]
R3 CTSBLFX.SYS;CTSBLFX.SYS;c:\windows\system32\drivers\CTSBLFX.sys [2008-08-21 566296]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2008-12-22 7408]
R3 ZY760_XP;ZyXEL 802.11g XG762 1211 Driver;c:\windows\system32\drivers\WlanUZXP.SYS [2008-12-20 402944]
S3 COMMONFX;COMMONFX;c:\windows\system32\drivers\COMMONFX.sys [2008-08-21 99352]
S3 CTAUDFX;CTAUDFX;c:\windows\system32\drivers\CTAUDFX.sys [2008-08-21 555032]
S3 CTERFXFX.SYS;CTERFXFX.SYS;c:\windows\system32\drivers\CTERFXFX.sys [2008-08-21 100888]
S3 CTERFXFX;CTERFXFX;c:\windows\system32\drivers\CTERFXFX.sys [2008-08-21 100888]
S3 CTSBLFX;CTSBLFX;c:\windows\system32\drivers\CTSBLFX.sys [2008-08-21 566296]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d04b0974-d075-11dd-81a5-001349715e0b}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL system.exe
\Shell\Explore\command - H:\system.exe
\Shell\Open\command - H:\system.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)


.
------- Zusätzlicher Suchlauf -------
.

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\cq5oloyk.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 19:45:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\windows\system32\ati2evxx.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-01-14 19:46:46 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2009-01-14 18:46:43

Vor Suchlauf: 9,922,125,824 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 10,000,461,824 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

171

Das, was ich vermutet habe, ist nicht da. Aber mir scheint die Datei system.exe sehr suspekt. Lasse sie bei www.virustotal.com auswerten und poste die Auswertung oder den Link. Was ist das Laufwerk H:?

ciao, andreas

kenn das laufwerk H: eigentlich nicht. könnte sein das es ein eigespeicherter USB-Stick ist? wo finde ich denn die system.exe ?

Ja.
Auf Laufwerk H:
Versuch es mit suchen: http://www.people.freenet.de/rene-gad/invisible.html

ciao, andreas

habe leider nur die datei SYSTEM.EXE-0907CFB6.pf auf C: gefunden.
Echt komisch alles!
Danke für deinen weiteren einsatz !

So kommen wir nicht weiter. Du musst doch wissen, was du an deinen PC gestöpselt hast, aber es scheint, dass ich mit meiner Annahme doch richtig lag und du dich durch einen externen Datenträger infiziert hast.

ciao, andreas

Ich weiß was ich an meinen rechner gestöpselt habe. 2 verschiedene Usb sticks. aber ich glaube einfach das ich schon vorher infiziert war weil ich nach der Neuinstallation erstmal nichts angeschlossen hatte und dennoch kein update ziehen konnte.
hmm.. ich weiß nicht weiter

Führe dieses MBR-Tool aus und poste die Ausgabe.

Hast du die USB-Sticks in Reichweite?

ciao, andreas

einen davon ja.

hier das was das Tool ausgespuckt hat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Dann stecke den an und suche dort nach system.exe. Falls du sie findest, dann lasse sie auswerten.

ciao, andreas

Du hattest recht! direkt komm eine Meldung H:\autorun.inf WORM/TRL.A
und die system.exe ist auch da!
sorry das die Log so lang ist wusste nicht was ich davon löschen darf und was nicht:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.14 Worm.Win32.AutoRun!IK
AhnLab-V3 2009.1.15.0 2009.01.14 -
AntiVir 7.9.0.54 2009.01.14 TR/Agent.ALKQ.4
Authentium 5.1.0.4 2009.01.14 -
Avast 4.8.1281.0 2009.01.14 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.01.14 Worm/Generic.SDA
BitDefender 7.2 2009.01.14 Trojan.Agent.ALKQ
CAT-QuickHeal 10.00 2009.01.14 Worm.AutoRun.usj
ClamAV 0.94.1 2009.01.14 Trojan.Dropper-16646
Comodo 931 2009.01.14 Worm.Win32.Autorun.~RF
eSafe 7.0.17.0 2009.01.14 -
eTrust-Vet 31.6.6307 2009.01.14 Win32/Auraax.DZ
F-Prot 4.4.4.56 2009.01.14 -
F-Secure 8.0.14470.0 2009.01.14 Worm.Win32.AutoRun.usj
Fortinet 3.117.0.0 2009.01.14 PossibleThreat
GData 19 2009.01.14 Trojan.Agent.ALKQ
Ikarus T3.1.1.45.0 2009.01.14 Worm.Win32.AutoRun
K7AntiVirus 7.10.584 2009.01.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.01.14 Worm.Win32.AutoRun.usj
McAfee 5495 2009.01.14 Generic Dropper
McAfee+Artemis 5495 2009.01.14 Generic Dropper
Microsoft 1.4205 2009.01.14 TrojanDropper:Win32/Emold.C
NOD32 3766 2009.01.14 probably a variant of Win32/Autorun
Norman 5.93.01 2009.01.13 -
nProtect 2009.1.8.0 2009.01.14 Worm/W32.AutoRun.25600.D
Panda 9.5.1.2 2009.01.14 Generic Trojan
PCTools 4.4.2.0 2009.01.14 -
Prevx1 V2 2009.01.14 Cloaked Malware
Rising 21.12.22.00 2009.01.14 -
SecureWeb-Gateway 6.7.6 2009.01.14 Trojan.Agent.ALKQ.4
Sophos 4.37.0 2009.01.14 -
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.14 W32.SillyFDC
TheHacker 6.3.1.4.219 2009.01.14 W32/AutoRun.usj
TrendMicro 8.700.0.1004 2009.01.14 PAK_Generic.001
VBA32 3.12.8.10 2009.01.13 Worm.Win32.AutoRun.tca
ViRobot 2009.1.14.1559 2009.01.14 -
VirusBuster 4.5.11.0 2009.01.14 Worm.Autorun.Gen!Pac.14
weitere Informationen
File size: 25600 bytes
MD5...: 9e82d65fb44d87c43b25ec02a5d72117
SHA1..: 0a40f653e973066682712ddf4e267e06c5d76e03
SHA256: bc531c06b61b430e4ff129ad651daa17fecf61464e171ffc52214521b3c46e82
SHA512: 6fd41928f32ce2198bb5f5793ddf85649d4ceb22315635ede1016afd0d861862
7e84ff96adb5e50da4358e63c9d199342cfae6c6e3ab240e3f4ca767137cd89d
ssdeep: 384:5gZOrtR6fyFROzqrhidXPVGABDeH4EjDwFgbJF4adLi:5gZOrtHRGJVTM5Nb
jde
PEiD..: UPX v1.03 - v1.04
TrID..: File type identification
Win32 Executable Generic (58.2%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.6%)
DOS Executable Generic (13.6%)
VXD Driver (0.2%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40200d
timedatestamp.....: 0x493c1dfb (Sun Dec 07 19:03:23 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.idata 0x1000 0x146 0x200 2.64 7f81c101db0be4c9a30845db40c57b39
.code 0x2000 0x5b78 0x5c00 7.68 868795ec4c8034108816098185040e79
.rsrc 0x8000 0x3c0 0x400 3.21 9dddaeeebcd1b1ddf9ae34c3ef7e6295

( 3 imports )
> kernel32.dll: GetProcAddress, GetModuleHandleA
> user32.dll: GetKeyState, SetActiveWindow, GetFocus
> gdi32.dll: EndDoc, LPtoDP, SetViewportExtEx

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9e82d65fb44d87c43b25ec02a5d72117' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9e82d65fb44d87c43b25ec02a5d72117</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=577A1E20009C6E1664B000CC2C6392005BBEDFD6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=577A1E20009C6E1664B000CC2C6392005BBEDFD6</a>

Desinfizierung/Absicherung externer Medien:

Lade Dir den Flash Disinfector von sUBs und speichere Flash_Disinfector.exe auf Deinem Desktop ab.
Gehe nun wie folgt vor:

1. Trenne den Rechner physikalisch vom Netz.
2. Deaktiviere den Hintergrundwächter deines AVP.
3. Schließe jetzt alle externe Datenträgeran Deinen Rechner an.
4. Starte den Flash Disinfector mit einem Doppelklick und folge ggf. den Anweisungen.
5. Wenn der Scan zuende ist, kannst du das Programm schließen.
6. Starte Deinen Rechner neu.

Hinweis:
Flash Disinfector desinfiziert all Deine Laufwerke von Autoruninfektionen und erstellt einen versteckten Ordner mit demselben Namen, sodass Dein Datenträger in Zukunft vor dieser Infektion geschützt ist.
Während dem Scan wird Dein Desktop kurzfristig verschwinden und dann wiederkommen. Das ist normal.

Schau hier vorbei, da habe ich schon alles sehr ausführlich geschrieben: http://www.trojaner-board.de/68318-r...-erhalten.html

ciao, andreas

also soll ich auch meinen rechner neuinstallieren?
ich habe das mit dem usb-Stick gemacht nur kommt die datei wohl durch diese system.exe immer wieder.

Ja. Es ist allerdings sinnlos, falls du die verseuchten USB-Sticks wieder einsteckst. Der andere hat dreimal installieren müssen und sich immer wieder selbst infiziert. Schalte die Autoplayfunktion ab, sonst passiert dir das auch.

ciao, andreas

ja gut das werde ich tun. aber was mache ich nun mit der datei auf dem stick? einfach löschen? weil durch die system.exe kommt das ja immer wieder ?

Solange dein PC noch verseucht ist, ist jeder Versuch sinnlos. Installiere neu, schalte Autoplay ab, halte [Umschalt] fest während du den Stick einsteckst, formatiere ihn oder lass Flash Disinfector laufen.

ciao, andreas

Alles klar werde das wenn die Zeit da ist alles durchführen. ich bedank mich nochmal für deine gedult und hilfe! DANKE