Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Internetfähigkeit ist eingeschränkt - keine Umleitung (https://www.trojaner-board.de/78072-internetfaehigkeit-eingeschraenkt-keine-umleitung.html)

Jonestown 04.10.2009 15:31
Internetfähigkeit ist eingeschränkt - keine Umleitung
 
Hallo, guten Tag.

Bearbeite gerade das befallene System meines Vaters und der Hund scheint wirklich härter zu sein als ich dachte.

System läuft langsam und die Internetfähigkeit ist eingeschränkt, da alle Versuche von Online-Scans funktionieren nicht da der Virus sie unterbindet und man nicht mal mehr auf die Seiten kommt, es findet eine Umleitung statt.

CCcleaner lief durch, Malwarebytes lies sich nicht installieren, selbst bei umbennung der exe. Antivir ist lahmgelegt, selbst im Abgesicherten Modus.

Habe nun zu Definierung des Virus und nob Systemneuinstallation oder Reparation eine Highjack-File erstellt, zu der ich Euch bitte mal drüber zu schauen und uns ein Feedback zu geben.



File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:13:38, on 04.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\GGHTS\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6061214
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6061214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=6061214
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Bscanner\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dell Network Assistant.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O20 - AppInit_DLLs: karna.dat
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Programme\Dell Network Assistant\hnm_svc.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 6349 bytes





Danke schon mal für die Hilfe!

Kos 05.10.2009 12:01
Hi

Lasst bitte GMER nach Anleitung laufen.

Zitat:
Bearbeite gerade das befallene System meines Vaters und der Hund scheint wirklich härter zu sein als ich dachte.
:D Und Vorsicht mit solchen Satzkonstruktionen...

Gruß
Kos

Jonestown 05.10.2009 19:35
Hallo,

anbei das Logfile des GMER-Scans:

GMER 1.0.15.15125 - http://www.gmer.net
Rootkit scan 2009-10-05 20:20:49
Windows 5.1.2600 Service Pack 2
Running: 2sitqhtw.exe; Driver: C:\DOKUME~1\derhexer\LOKALE~1\Temp\awlcapow.sys


---- System - GMER 1.0.15 ----

SSDT F7C5A366 ZwCreateKey
SSDT F7C5A35C ZwCreateThread
SSDT F7C5A36B ZwDeleteKey
SSDT F7C5A375 ZwDeleteValueKey
SSDT F7C5A37A ZwLoadKey
SSDT F7C5A348 ZwOpenProcess
SSDT F7C5A34D ZwOpenThread
SSDT F7C5A384 ZwReplaceKey
SSDT F7C5A37F ZwRestoreKey
SSDT F7C5A370 ZwSetValueKey
SSDT F7C5A357 ZwTerminateProcess

Code E19C4EA0 ZwEnumerateKey
Code E19411A0 ZwFlushInstructionCache
Code AA456EAB pIofCallDriver
Code AA457853 pIofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5642 5 Bytes JMP E19411A4
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622DE0 5 Bytes JMP E19C4EA4

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[588] ws2_32.dll!connect 71A1406A 5 Bytes JMP 00C5000A
.text C:\WINDOWS\Explorer.EXE[588] ws2_32.dll!send 71A1428A 5 Bytes JMP 00C7000A
.text C:\WINDOWS\Explorer.EXE[588] ws2_32.dll!closesocket 71A19639 5 Bytes JMP 00C6000A

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegQueryValueA] 010FFF90
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [ADVAPI32.dll!RegCreateKeyExW] 010FFC80
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcAddress] 010F8770
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryA] 010F9CB0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!CloseHandle] 010FCE20
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!FreeLibrary] 010FAA00
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryW] 010F9FE0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!CreateFileW] 010FC160
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GlobalUnlock] 010FF160
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GlobalLock] 010FF1A0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetProcessHeap] 011002E0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!FindFirstFileW] 010FED50
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!DuplicateHandle] 010FCD80
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!CreateThread] 010FB520
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] 010FA6B0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetEnvironmentStringsW] 010FAFA0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!IsDebuggerPresent] 01100860
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!ReadFile] 010FC4B0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!SetFilePointer] 010FCBE0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!MapViewOfFileEx] 010FD810
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!CreateFileMappingW] 010FD2F0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!MapViewOfFile] 010FD790
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!OpenFileMappingW] 010FE2B0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!UnmapViewOfFile] 010FD980
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExA] 010FA360
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!TerminateProcess] 010FB3D0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GlobalAlloc] 010FF280
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!FlushViewOfFile] 010FD430
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetFileSize] 010FCD20
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!WriteFile] 010FC8E0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetFileType] 010FCF30
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!GetACP] 01100300
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!CreateFileMappingA] 010FD230
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!LoadIconW] 011005A0
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!LoadCursorW] 01100540
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateDialogParamW] 01100790
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!DialogBoxParamW] 01100830
IAT C:\Programme\Dell Network Assistant\ezi_hnm2.exe[1416] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!LoadStringW] 01100660

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\TDSSmhxt.sys (*** hidden *** ) AA455000-AA467000 (73728 bytes)

---- Threads - GMER 1.0.15 ----

Thread System [4:436] AA457D66

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\TDSSmhxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmhxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmhxt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSofxh.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfum.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSfxwp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSmhxt.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSofxh.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@imagepath \systemroot\system32\drivers\TDSSmhxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSserv \systemroot\system32\drivers\TDSSmhxt.sys
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSl \systemroot\system32\TDSSofxh.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssservers \systemroot\system32\TDSSosvd.dat
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssmain \systemroot\system32\TDSSnrsr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsslog \systemroot\system32\TDSSriqp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssadw \systemroot\system32\TDSScfum.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssinit \systemroot\system32\TDSSfxwp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdssurls \systemroot\system32\TDSSnmxh.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsspanels \systemroot\system32\TDSSsihc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@tdsserrors \systemroot\system32\TDSSmhxt.log
Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules@TDSSproc \systemroot\system32\TDSSofxh.log
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@affid 53
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@subid v3av
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@control 0x18 0x15 0x13 0x44 ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@prov 10010
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@googleadserver pagead2.googlesyndication.com
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata@flagged 1

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\TDSSmhxt.sys 60416 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\TDSScfum.dll 61440 bytes executable
File C:\WINDOWS\system32\TDSSerrors.log 80 bytes
File C:\WINDOWS\system32\TDSSfxwp.dll 3639 bytes
File C:\WINDOWS\system32\TDSSmhxt.log 447 bytes
File C:\WINDOWS\system32\TDSSnrsr.dll 29696 bytes executable
File C:\WINDOWS\system32\TDSSofxh.dll 35840 bytes executable
File C:\WINDOWS\system32\TDSSofxh.log 7082 bytes
File C:\WINDOWS\system32\TDSSosvd.dat 441 bytes
File C:\WINDOWS\system32\TDSSproc.log 1308 bytes
File C:\WINDOWS\system32\TDSSriqp.dll 31232 bytes executable
File C:\WINDOWS\Temp\TDSS7db2.tmp 118784 bytes executable
File C:\WINDOWS\Temp\TDSS7dc1.tmp 677888 bytes executable

---- EOF - GMER 1.0.15 ----


Danke schon mal vorab für die Infos!

b.exe 05.10.2009 19:57
Hallo,

Mehrere Dinge:
1. Wieso ist nur SP2 installiert?

2. O20 - AppInit_DLLs: karna.dat <-- mit HiJackThis fixen, was den Rest angeht kann ich dir leider nicht helfen, aber schonmal ein Anfang

3. Malwarebytes' Anti-Malware hier: http://www.malwarebytes.org/mbam.php runterladen und alles prüfen lassen, das log-file dann hier posten
-----
Zitat:
Zitat von Kos (Beitrag 470874)
Hi
:D Und Vorsicht mit solchen Satzkonstruktionen...
Wieso? So hat man wenigstens nochmal was zum Schmunzeln :D



Gruß,
b.exe

Kos 05.10.2009 22:24
Hi

@b.exe
Zitat:
3. Malwarebytes' Anti-Malware hier: http://www.malwarebytes.org/mbam.php runterladen und alles prüfen lassen, das log-file dann hier posten
Malwarebytes lässt sich nicht installieren, so wie ich das mitgekriegt habe ;)

@Jonestown
Schlechte Neuigkeiten: Rootkit
Deswegen zuerst mein Standard-Spruch:

Nach einem Rootkit-Befall ist die beste und sicherste Methode:

Neuaufsetzen des Systems + Absicherung

Insbesondere, wenn der Rechner für sicherheitskritische Aktionen, wie z.B. Online-Banking, benutzt werden sollte, ist von einer Bereinigung abzuraten. Die Entscheidung, ob Bereinigen oder Neuinstallieren, liegt bei euch.

Gruß
Kos

b.exe 05.10.2009 23:14
Huch! Stimmt, da war was.
Entschuldigt bitte!

@Kos: Wenn ich fragen darf, wie kommst du jetzt auf Rootkit-Befall?
Ich bin mit der Materie noch nicht ganz so vertraut wie viele andere hier, aber was nicht ist kann ja noch werden! :uglyhammer:

@Jonestown: Neuaufsetzen wird dir wahrscheinlich wirklich einiges an Ärger und Zeit ersparen. Wenn keine Sicherheitskomponenten funktionieren wirst du vermutlich nichtmal alles finden, was verseucht ist ...


Gruß,
b.exe

Kos 06.10.2009 09:52
@b.exe
Zitat:
Wenn ich fragen darf, wie kommst du jetzt auf Rootkit-Befall?
In diesem Fall ganz einfach :D:

Zitat:
Service C:\WINDOWS\system32\drivers\TDSSmhxt.sys (*** hidden *** ) [SYSTEM] TDSSserv.sys <-- ROOTKIT !!!
File C:\WINDOWS\system32\drivers\TDSSmhxt.sys 60416 bytes executable <-- ROOTKIT !!!
Man beachte auch, was das Ding in der Registry angerichtet hat (TDSS Einträge)

Gruß
Kos

Jonestown 06.10.2009 11:09
Habt schonmal vielen Dank!

Dann werden wir das System mal neuaufsetzen...übrigens ist es wirklich das System meines Vaters ;-)

Tolles Forum, schnelle Hilfe, Vielen Dank!

Grüße aus Essen

b.exe 06.10.2009 13:49
Hi,

@Kos:
Ah, okay, die Registry zerspringt bald! :D

@Jonestown:
Also, als ich deinen Spruch gelesen habe, mit dem Hund, der härter ist als du dachtest, habe ich an etwas ganz anderes, ordinäres gedacht. Ich denke eher, dass Kos das auch so meinte?
Viel Spaß beim formatieren ;)
Sollte ja schnell erledigt sein

Btw. Du/Ihr kommst/kommt aus Essen?
Wenn Probleme beim Formatieren auftreten kann ich ja mal rüberkommen *gg

Lieben Gruß aus Dorsten,
b.exe

Kos 06.10.2009 19:11
Zitat:
Dann werden wir das System mal neuaufsetzen...übrigens ist es wirklich das System meines Vaters ;-)
Gute Wahl :daumenhoc

Dann gebe ich euch noch ein bisschen was zum Lesen und einsinken lassen:
Kompromittierung unvermeidbar?
Sicherheit im Internet

Außerdem solltet ihr nach der Neuinstallation sicherheitshalber alle Passwörter ändern.

Zitat:
Ich denke eher, dass Kos das auch so meinte?
Und um das zu klären: Der Satz ist m.E. etwas zweideutig bzw. unklar - wer ist da nun hart, das System, das Problem... der Vater? :D

Gruß
Kos

b.exe 06.10.2009 19:33
*lach* Das meinte ich damit auch :D
Deswegen hatte ich auch nach deinem Kommentar direkt geschrieben, dass man so wenigstens nochmal was zu schmunzeln hat :D

Sry 4 Spam :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131