Trojaner-Board - (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - (Google-) Links werde auf andere URL geleitet. Bitte um Hilfe... (https://www.trojaner-board.de/69490-google-links-andere-url-geleitet-bitte-um-hilfe.html)

(Google-) Links werde auf andere URL geleitet. Bitte um Hilfe...

Hallo zusammen!

Ich habe folgendes Problem:

Wenn ich bei Google einem Link aus den Suchergebnissen folgen möchte, werde ich (nicht immer... aber sehr oft) auf falsche Seiten umgeleitet. Zum Beispiel:
rootio.c*m, siteadvisor.c*m, adonso.n*t, profiseller.d*, Primosearch oder auch Pornoseiten wie RedTube & Co.

Zunächst einmal habe ich mein Antivir aktualisiert und einen Scan gemacht.
--> Ohne Ergebnis.
Dann habe ich den "Spyware Terminator" installiert und einen Scan durchgeführt. Der hatte 2 Gefahren erkannt und diese habe ich ihn löschen lassen. Danach ein weiterer Scan. Keine Funde mehr.

Das Problem besteht jedoch weiterhin.
Ganz unverschämt wird "das Problem" bei meiner Hilfesuche:
(was ja schin umständlich genug ist, wenn man keinen Google-Links folgen kann...)
Auf die Seite pctools.c*m z.B. komme ich zur Zeit nicht drauf...
Ähnlich auch, wenn ich z.B. den Online-Virenscanner von kaspersky.c*m, oder bitdefender.d* aufrufen möchte... Die Seiten öffnen sich einfach nicht. (Verbindung fehlgeschlagen - Firefox kann keine Verbindung zu dem Server unter www.kaspersky.c*m aufbauen.) Ähnlich auch auf anderen Seiten von Virenscannern.

Nun, da Avira Antivir und der Spyware Terminator mir nicht mehr weiter helfen können, hoffe ich, dass Ihr etwas mit meinem HiJackThis Log anfangen könnt...

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:33:17, on 02.02.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

C:\Programme\Analog Devices\Core\smax4pnp.exe

C:\Programme\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\E_S00RP1.EXE

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\MySecurityCenter\Programs\service.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\Programme\PC Connectivity Solution\ServiceLayer.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Real\RealPlayer\RealPlay.exe

C:\Programme\Real\RealPlayer\RealPlay.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w*w.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60429

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://w*w.crawler.com/search/ie.aspx?tb_id=60429

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://w*w.crawler.com/search/ie.aspx?tb_id=60429

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.c*m/support/sa_customize.aspx?TbId=60429

R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll

O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [\\danfest\EPSON Stylus Photo R1800] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9LE.EXE /P34 "\\danfest\EPSON Stylus Photo R1800" /O6 "USB001" /M "Stylus Photo R1800"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [setc] C:\Programme\MySecurityCenter\Programs\setc.exe

O4 - HKLM\..\Run: [regist] C:\Programme\MySecurityCenter\Programs\RegistrationPopup.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://w*w.bul-online.de/scan/Msie/bitdefender.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.c*m/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: Google Desktop Manager 5.7.801.1629 (GoogleDesktopManager-010108-205858) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: MySecurityCenter License Service - Unknown owner - C:\Programme\MySecurityCenter\Programs\service.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
 

--

End of file - 11106 bytes

Ich hoffe, Ihr könnt mir helfen... Vielen Dank im Voraus :daumenhoc

Hallo und :hallo:

GMER - Rootkit Detection

Lade Gmer von hier
entpacke es auf den Dektop
benenne gmer.exe um in asdf.com
Doppelklick auf asdf.com
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. File-Upload.net hoch und poste den Link.
Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hallo und Danke für die schnelle Antwort...

Und es geht schon wieder los...!?!

Wenn ich normal (linksklick) auf Deinen Link klicke, kommt wieder: "Verbindung fehlgeschlagen
Firefox kann keine Verbindung zu dem Server unter w*w.gmer.net aufbauen."

Wenn ich mit rechtsklick->ziel speichern unter... versuche die datei zu saugen, kommt die Fehlermeldung: "Der Download kann nicht gespeichert werden, weil ein unbekannter Fehler aufgetreten ist. Bitte versuchen Sie es nochmals."

:heulen:

Versuche es damit: File-Upload.net - abcd.zip

ciao, andreas

Dein Problem mit Google ist das nur mit Google oder auch mit anderen Suchmaschinen?
Wenn nicht, hier meine zwei Lieblingsalternativen:
cuil.c*m
metager2.d*

Ich hoffe ich kann dir dabei helfen.

Hmm... nachdem ich die Datei herunter geladen und der html gefolgt bin, wird angezeigt: Bitte klicken sie auf den download button... sehe aber keinen. Habe also auf die Werbegrafik geklickt, weil ich dachte, dass sei der (werbefinanzierte) Download-Start... Den Obi-Gutschein (super... wollte eh heute zum Baumarkt...) habe ich jetzt bekommen, aber ein Download ist nicht gestartet. Auch nach mehrmaliger Wiederholung nicht...

Und was nun? Ich schaue mal, ob ich bei google einen alternativen gmer download finde... oder?

Versuchs damit: http://rapidshare.de/files/44566908/abcd.zip.html

Sry wegen der Ads. Bei mir werden Ads geblockt, deshalb sehe ich die nicht.

ciao, andreas

Okay... habe mir Gmer bei Chip-Online gesaugt... und dann deine Anleitung befolgt... Hier der Report:

Code:

GMER 1.0.14.14116 - http://www.gmer.net

Rootkit scan 2009-02-02 17:47:32

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.14 ----
 

SSDT            AE4D0B14                                                                            ZwCreateThread

SSDT            AE4D0B00                                                                            ZwOpenProcess

SSDT            AE4D0B05                                                                            ZwOpenThread

SSDT            AE4D0B0F                                                                            ZwTerminateProcess

SSDT            AE4D0B0A                                                                            ZwWriteVirtualMemory
 

Code            E1B1D190                                                                            ZwEnumerateKey

Code            E1B210D0                                                                            ZwFlushInstructionCache

Code            AD704EAB                                                                            pIofCallDriver
 

---- Kernel code sections - GMER 1.0.14 ----
 

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                805B528A 5 Bytes  JMP E1B210D4 

PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                         80622950 5 Bytes  JMP E1B1D194 
 

---- User code sections - GMER 1.0.14 ----
 

.text           C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!connect                                    71A1406A 5 Bytes  JMP 00AE000A 

.text           C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!send                                       71A1428A 5 Bytes  JMP 00B0000A 

.text           C:\WINDOWS\Explorer.EXE[1936] WS2_32.dll!closesocket                                71A19639 5 Bytes  JMP 00AF000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!connect                   71A1406A 5 Bytes  JMP 00BA000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!send                      71A1428A 5 Bytes  JMP 00BC000A 

.text           C:\Programme\Mozilla Firefox\firefox.exe[3340] WS2_32.dll!closesocket               71A19639 5 Bytes  JMP 00BB000A 
 

---- Devices - GMER 1.0.14 ----
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                            fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Modules - GMER 1.0.14 ----
 

Module          \systemroot\system32\drivers\TDSSmqlt.sys (*** hidden *** )                         AD703000-AD715000 (73728 bytes)                                         
 

---- Threads - GMER 1.0.14 ----
 

Thread          4:380                                                                               AD705D66
 

---- Services - GMER 1.0.14 ----
 

Service         C:\WINDOWS\system32\drivers\TDSSmqlt.sys (*** hidden *** )                          [SYSTEM] TDSSserv.sys                                                    <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.14 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys                                 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start                           1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type                            1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath                       \systemroot\system32\drivers\TDSSmqlt.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group                           file system

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules                         

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv                \systemroot\system32\drivers\TDSSmqlt.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl                   \systemroot\system32\TDSSoiqt.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers             \systemroot\system32\TDSSlrvd.dat

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain                \systemroot\system32\TDSShrxr.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog                 \systemroot\system32\TDSSrtqp.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw                 \systemroot\system32\TDSSxfum.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit                \systemroot\system32\TDSSlxwp.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls                \systemroot\system32\TDSSnmxh.log

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels              \systemroot\system32\TDSSsihc.dll

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors              \systemroot\system32\TDSSrhyp.log

Reg             HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc                \systemroot\system32\TDSSkkbi.log

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys                                     

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@start                               1

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@type                                1

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@imagepath                           \systemroot\system32\drivers\TDSSmqlt.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys@group                               file system

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules                             

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSserv                    \systemroot\system32\drivers\TDSSmqlt.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSl                       \systemroot\system32\TDSSoiqt.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssservers                 \systemroot\system32\TDSSlrvd.dat

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssmain                    \systemroot\system32\TDSShrxr.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsslog                     \systemroot\system32\TDSSrtqp.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssadw                     \systemroot\system32\TDSSxfum.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssinit                    \systemroot\system32\TDSSlxwp.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdssurls                    \systemroot\system32\TDSSnmxh.log

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsspanels                  \systemroot\system32\TDSSsihc.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@tdsserrors                  \systemroot\system32\TDSSrhyp.log

Reg             HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys\modules@TDSSproc                    \systemroot\system32\TDSSkkbi.log

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Abaddon\x2122 (TrueType)    abaddon.TTF

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Acadian\x2122 (TrueType)    acadian.TTF

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Altenburg\x2122 (TrueType)  ALTEN.TTF

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata                          

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid                    95

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid                    401

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control                  0x09 0x19 0x1F 0x16 ...

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov                     10010

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver           pagead2.googlesyndication.com

Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged                  1
 

---- EOF - GMER 1.0.14 ----

Ich hoffe Du kannst damit was anfangen?

Zitat:

Ich hoffe Du kannst damit was anfangen?

Nö, ich habe davon keine Ahnung. ;)
Bitte nicht weitererzählen, dass soll ein Geheimnis bleiben. http://www.cosgan.de/images/more/bigs/a213.gif

Anleitung Avenger (by swandog46)

Lade dir das Tool yxcv.exe (ist Avenger drin) und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

Drivers to delete:

TDSSserv.sys
 

Files to delete:

C:\Windows\system32\drivers\TDSSmqlt.sys

C:\Windows\system32\TDSSoiqt.dll

C:\Windows\system32\TDSSlrvd.dat

C:\Windows\system32\TDSShrxr.dll

C:\Windows\system32\TDSSrtqp.dll

C:\Windows\system32\TDSSxfum.dll

C:\Windows\system32\TDSSlxwp.dll

C:\Windows\system32\TDSSnmxh.log

C:\Windows\system32\TDSSsihc.dll

C:\Windows\system32\TDSSrhyp.log

C:\Windows\system32\TDSSkkbi.log

http://saved.im/mzi3ndg3nta0/aven.jpg

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Okay... ich kann schweigen wie ein Grab!

Gut, gut... Anleitung befolgt. Hier der Avenger-Report:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.
 

Hidden driver "TDSSserv.sys" found!

ImagePath:  \systemroot\system32\drivers\TDSSmqlt.sys 

Start Type:  4 (Disabled)
 

Rootkit scan completed.
 

Driver "TDSSserv.sys" deleted successfully.

File "C:\Windows\system32\drivers\TDSSmqlt.sys" deleted successfully.

File "C:\Windows\system32\TDSSoiqt.dll" deleted successfully.

File "C:\Windows\system32\TDSSlrvd.dat" deleted successfully.

File "C:\Windows\system32\TDSShrxr.dll" deleted successfully.

File "C:\Windows\system32\TDSSrtqp.dll" deleted successfully.

File "C:\Windows\system32\TDSSxfum.dll" deleted successfully.

File "C:\Windows\system32\TDSSlxwp.dll" deleted successfully.
 

Error:  file "C:\Windows\system32\TDSSnmxh.log" not found!

Deletion of file "C:\Windows\system32\TDSSnmxh.log" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\Windows\system32\TDSSsihc.dll" not found!

Deletion of file "C:\Windows\system32\TDSSsihc.dll" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Error:  file "C:\Windows\system32\TDSSrhyp.log" not found!

Deletion of file "C:\Windows\system32\TDSSrhyp.log" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

File "C:\Windows\system32\TDSSkkbi.log" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Habe Google jetzt mal gestestet. Verhält sich derzeiut ganz normal. Keine Fehlverweise mehr. Komme auch wieder auf karpinsky & Co.

Zur Sicherheit habe ich noch einmal Gmer drüber laufen lassen:

Code:

GMER 1.0.14.14116 - h**p://www.gmer.net

Rootkit scan 2009-02-03 13:02:30

Windows 5.1.2600 Service Pack 2
 
 

---- System - GMER 1.0.14 ----
 

SSDT  A94C9E64                                                                            ZwCreateThread

SSDT  A94C9E50                                                                            ZwOpenProcess

SSDT  A94C9E55                                                                            ZwOpenThread

SSDT  A94C9E5F                                                                            ZwTerminateProcess

SSDT  A94C9E5A                                                                            ZwWriteVirtualMemory
 

---- Kernel code sections - GMER 1.0.14 ----
 

?     xusm.sys                                                                            Das System kann die angegebene Datei nicht finden. !
 

---- Registry - GMER 1.0.14 ----
 

Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Abaddon\x2122 (TrueType)    abaddon.TTF

Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Acadian\x2122 (TrueType)    acadian.TTF

Reg   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts@Altenburg\x2122 (TrueType)  ALTEN.TTF
 

---- EOF - GMER 1.0.14 ----

Ist jetzt alles wieder gut?? *hoff*

Hmm... eben kam von meinem Antivir eine Meldung:

Code:

In der Datei 'C:\System Volume Information\_restore{F328A402-21C5-4E60-A5A3-BB3C735641EB}\RP366\A0033809.dll'

wurde ein Virus oder unerwünschtes Programm 'BDS/TDSS.adb' [backdoor] gefunden.

Ausgeführte Aktion: Datei löschen

Versucht sich der Schädling wieder breit zu machen??

Hallo!
kann es sein, dass du dir über msn einen virus geholt hast? der mist ist nämlich bei mir passiert und ich kann auch nicht auf die antivirus-updateseiten.

Zitat:

Okay... ich kann schweigen wie ein Grab!

http://www.cosgan.de/images/more/schilder/019.gif
Das wäre mir nämlich voll peinlich, wenn das andere erfahren würden. http://www.cosgan.de/images/more/bigs/a090.gif

Zitat:

Ist jetzt alles wieder gut?? *hoff*

Nein, richtig gut wird er auch nicht wieder werden. Wenn du wirklich sicher sein willst, dann hilft nur: http://www.trojaner-board.de/51262-a...sicherung.html

Onlinebanking oder Ebay würde ich mit dem Rechner nicht mehr machen wollen. Sollten er nur zum Daddeln und Surfen genutzt werden, dann können wir weiter versuchen zu säubern. Deine Entscheidung.

Das Teil hat einiges nachgeladen. Das muss auf jeden Fall noch weg. Die Meldung von Avira ist nur die Systemwiederherstellung, die in jedem Fall abgeschaltet wird.

ciao, andreas