Trojaner oder Virus - PC spinnt. Format C ?
 

Hallo.

Ich wollte meinen PC kurieren, da er beim Hochfahren immer so lange brauchte.
Ich besitze einen Pentium D Core Duo 2,8 GH 1GB Ram.
Mein Betriebssystem ist Windows XP Media Center Ed.2002 SP 2
Was noch zu sagen wäre, ich habe nicht viel Ahnung von Computern.

Jedenfalls begann ich mir den Autostart anzuschauen, welche Programme sich immer mit hochfahren, dafür habe ich mir noch den StartupManager runtergeladen und bei Unklarheit gegoogelt.
Um das ganze noch zu Perfektionieren und meinen PC richtig durchzuchecken lud ich mir Ad Aware und Spybot S&D.
Ich fuhr in den abgesicherten Modus, deaktivierte vorher die Systemwiederherstellung und fing an mit den o.g. Programmen und Avira AntiVir Personal zu scannen.

Es gab mehrere Funde von Cookies, Warnungen und eben leider auch einen Trojaner (von Antivir gefunden) : Bezeichnung : TR/Dldr.small.acza

Habe diesen sofort gelöscht.

Dann dachte ich, jetzt wird mein PC super schnell sein. Fehlanzeige!

Nach dieser ganzen Aktion kann ich von Glück reden, wenn sich mein PC beim zweiten Versuch hochfährt, was dann mind. 5 min. dauert.

Jetzt treten folgende unglaublich merkwürdige Erscheinungen/Fehler auf:

1. Kann erst beim zweiten Versuch den PC hochfahren (s.o.)- dann dauert
es aber sehr lange

2. Nach dem Start installiert sich immer eine Internetverknüpfung mit einem
Icon mit dem Titel "Casino" auf meinem Desktop. Diese lösche ich
jedesmal, aber nach jedem Neustart ist sie wieder da.

3. Wenn ich Google verwende, findet es zwar Suchergebnisse, aber wenn ich
diese anklicke, öffnen sich ein neuer Tab mit Werbeseiten von
Casinos,Handywerbeanbietern.. (immer unterschiedlich) statt des
gewünschten Suchergebnisses

4. Grundsätzlich kann ich mit beiden Browsern, sowohl IE und mit Firefox
KEINE Seiten von ANTIVIRENSOFTWARE mehr ÖFFNEN. Da kommt bei
Firefox,Seite kann nicht angezeigt werden und bei IE - diese Seite ist im
moment nicht verfügbar. Also weder Symantec, noch Panda, Kaspersky...
Dies fiel mir auf als ich einen OnlineScan noch zusätzlich durchführen
wollte.

Führe jetzt gerade den One Safety Scanner von Windows live aus, das einzige was funktionierte.

5. Seitenaufbau im Internet, dauert trotz DSL 6000 auf einmal total lange.
Habe das Gefühl jemand surft über meine Leitung mit und überwacht
sogar meinen PC und weiß das ich jetzt hier schreibe... unheimlich
irgendwie. Deshalb kann ich vielleicht auch nicht mehr auf Antivirenseiten
weil der nicht will das ich ihn entdecke (den Trojaner mit dem mich
vielleicht jmd. ausspioniert.)

Bitte helft mir, ich weiß nicht mehr was ich machen soll, mein PC war mal so gut und jetzt ist er ein Wrack : (

Das ist alles seit ich kein Norton mehr habe, weil mein Abo ausgelaufen war. Dann stieg ich auf Avira um und Schwupps - nur Probleme.

Das Virenprogramm findet jetzt keine Fehler mehr, aber irgendwas ist auf meinem PC oder wurde vom Trojaner zerstört.

Ich bin nun am Überlegen ob ich meine ganze Festplatte formatieren soll, aber bei meinem PC war Windows zwar drauf installiert, aber die CD war nicht mit dabei. Das heißt ich müsste mir extra ein Betriebssystem kaufen.

Ich würde mich über Antworten, Tips und so weiter freuen.
Vielen Dank im Voraus.

poste ein Hijackthis Log und führe ein scan mit Malwarebytes durch.

Dieses Hijack This lässt sich auch nicht öffnen (trendsecure.com) !! Wie soll ich das jetzt machen?

Mir sind auch noch 2 Probleme eingefallen. Beim IE sind die Symbole irgendwie verschoben und Grafiken werden nicht richtig angezeigt.

Und wenn ich Zip Dateien runterlade, und diese auf dem Desktop speichere , werden die auf dem Desktop auch nicht angezeigt. Hab ich da was falsch eingestellt?

Versuch es mit RSIT und poste log.txt und info.txt

es geht einfach nicht, ich kann die Seiten nicht öffnen, ich kann jegliche Anti-Viren Seiten nicht öffnen. auch nicht diesen RSIT. Da kommt immer Seite kann nicht angezeigt werden. Was soll ich nur machen? könntet ihr mir die exe per Mail schicken? Bitte !!!!

stell erstmal den teatimer und sdhelper im spybot ab.

ganz blöde Frage: wie mach ich das? Bin jetzt im Programm drin, weiß aber nich wie ich das ausschalte. Da gibts nichts mit Häkchen rausnehmen oder so.. oder soll ich das mit hijackthis rausnehmen, also Häkchen rein und fixen ??
------------------
ok, ich war nicht im erweiterten MOdus
hab jetzt die Häkchen rausgemacht

nein in spybot deaktivieren.

links unter werkzeuge den Tab Resident

hast du schon malwarebytes upgedated und gescannt?

noch nicht.

mach ich jetzt. Ist denn in dem LogFile schon irgendwas auffällig?

Hier nochmal Dateien die unter Wiederherstellen bei Spybot stehen.. Registry Einträge. Nicht das ich was wichtiges gelöscht habe:

Microsoft Windows Sec. Center
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WSCSVC\Start

Bearshare
class ID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{.....}

interface
HKEY_CLASSES_ROOT\interface\{....}

type library
HKEY_CLASSES_ROOT\Typelib\{...}

die kannst erstmal dort lassen. schau mal deine nachrichten an

scan ist fertig, muss gerad schlucken

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1157
Windows 5.1.2600 Service Pack 2

15.09.2008 23:23:28
mbam-log-2008-09-15 (23-23-24).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 145468
Laufzeit: 26 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.

und jetzt? Das ich überhaupt noch ins Internet gehe ist leichtsinnig oder?
Soll ich alles löschen oder mach ich dann den PC kaputt?
Mir fällt gerad ein das ich das jetzt gar nicht im abgesicherten Modus gemacht habe. Alles wiederholen und im abgesicherten MOdus dann löschen?

nein, die funde bitte löschen lassen, du mußt nicht in den abgesicherten modus

so, wollte die löschen, da kam "folgende Dateien konnten nicht gelöscht werden" - fast alle, dann "diese Dateien wurden in den Löschauftrag gegeben und werden nach dem Neustart gelöscht. Hab jetzt neu gestartet. Was nun? Scan wiederholen? ich mach einfach mal.

ja mach das... :)

vergess die anderen Programme nicht. Druck dir am besten die Anleitung aus.

ich bekomm den Trojaner bestimmt eh nich ganz los oder?

Wär cool wenn du das mal wertest, also die Logfiles und vielleicht deine Erfahrung einbringst, wie du den Angriff interpretierst, ob das sehr schlimm ist oder mäßig usw.
Weil ich kenn mich ja nicht so gut aus, weiß nur das es nicht gut ist, wenn sich ein Schädling im System32 (warum eigentlich ausgerechnet 32 ? ) befindet.

Natürlich will ich mich schonmal für die nette und geduldige Unterstützung bedanken, das ist echt toll das es solche Foren und solche Hilfsbereiten Experten gibt!
-----------
hab jetzt nochmal gescannt und leider wieder 4 Objekte die infiziert sind (bestimmt die die sich nicht löschen ließen)

da steht: Malware.trace
c:\windows\system32\tdsspopup.dll
c:\windows\system32\tdsspopup1.url
c:\windows\system32\tdsspopup2.url
c:\windows\system32\tdsspopup3.url

Was ist das? Soll ich nicht doch lieber nochmal extra im abgesicherten Modus scannen?Sonst lässt es sich vielleicht nicht ganz löschen?

was für andere Programme?
Ich glaub das nehm ich mir für morgen vor, falls du jetzt Hijackthis meinst!?
Das ist ja etwas komplizierter, weil man da aufpassen muss was man löscht. Herrje..
Ich wünsch noch eine angenehme Nacht.

die kannst/sollst du ebenfalls löschen.

Hi ihr 2
Darf ich die löschen? :D

Danke an erty! :party:

Für dich AngryBlonde:

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

ich habe aber die XP Media Center Edition 2005 - > keine Windows CD. SP 2.
Zur Auswahl für die Wiederherstellungskonsole stehen aber nur XP Home oder Professional..
was nun?
------
aber wenn ich meinen PC hochfahr, kann ich die Wied.konsole auswählen, muss ich die da trotzdem nochmal runterladen?

LOL?

Na dann nehmen wir eben SDFix:

SDFix anwenden:

• Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
  http://img.bleepingcomputer.com/swr-...ix-install.jpg
• Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

sagt mal, ich bin ein bissl neugierig.. mir ist aufgefallen das ziemlich viele im Board die selben Probleme haben.
Was ist das für ein Trojaner, wo kommt der her? Und die meisten haben auch AVIRA - da kann das Programm doch nicht gut sein, wenn man da trotzdem haufen Viren und Trojaner bekommt?!

So und ich soll jetzt wirklich das andere Programm nehmen, weil ich nicht die Home Ed. oder Prof.Ed hab?
Najut, auf gehts.

Eins muss ich noch sagen, seit ich das Maleware zeug gemacht hab, lässt sich mein Rechner wieder problemlos hochfahren. Ich kann auch wieder auf Sicherheitsseiten von Antivirenfirmen gehen. Nur das INternet ist noch extreeeem langsam.
Ach und noch was, ich habe jetzt an meinem PC einen Aufkleber entdeckt wo mein XP Code drauf steht. Also fehlt mir sozusagen die CD aber den Registrierungsschlüssel habe ich.
Sollte ich XP also mal neu drauf machen wollen, kann ich dann einfach ne andere XP CD nehmen mit meinem Code? Aber das Problem wird wahrscheinlich sein, dass ich diese Media Center Edition hab, also brauch ich die CD oder? Aber die is vielleicht auch nich so teuer? Fragen über Fragen.
Sorry, bin etwas wissbegierig und geschwätzig. Bin ne Frau ; =)

So los gehts.

Welchen meinst du? Wir haben hier alles von A - Z.
Die meisten haben Avira weil es die vernünftigste kostenlose Virenklingel ist.
Malware ist der AV-Software immer einen Schritt vorraus.
Mach das bitte. ;)
Jop, MBAM hat die sekundäre Infektion beseitigt. Diese kann aber schnell wieder da sein, wenn man's dabei belässt.
Ganz einfach, erstell dir eine eigene WinXP CD. Entweder von einem Zweitrechner oder von einem Rechner eines Bekannten. => Klick
XP kostet momentan so um die 50 €, falls du es dir kaufen willst.
Das ist keine Ausrede! :lach: Aber ich find's toll, das du frägst.

solong..

Naja, ich meinte den Trojaner den ich habe. Mit eben den gleichen Symptomen die ich beschrieben hab. Dass sich Seiten nich öffnen lassen mit Firefox/IE und der Rechner lahmt.. aber vielleicht gibts da sooo viele verschiedene die dieselben Fehler auslösen.

Ich würde für ein richtig gutes Virenprogramm auch Geld bezahlen, welches ist empfehlenswert? Norton Internet Security eventuell ? Das is anwenderfreundlich und ich kenn mich damit aus, aber viele sagen es ist ne Systembremse. Stimmt das?

Bevor ich "weiterarbeiten" kann mit diesem Fix muss ich nochmal schnell (Ha Ha) meine Daten sichern.
Leider dauert das etwas die auf die Externe Festplatte zu schieben, da kann ich nich so fix ; ) weitermachen. Schieb ich da eigentlich den Virus mitrüber? Weil ich nur 2 Ordner verschiebe - Programme und Eigene Dateien - aber der Virus is ja im Windows System oder?

Also das mit dem Programm wo man sich die CD selbst erstellen kann ist ja echt total genial, danke für den Tip!! Es gibt nur einen Haken - ich kenn keinen der die Media Center Ed. hat : (( Ausleihen kann man sich die nich irgendwo bei nem Händler oder? Soll ich vielleicht mal bei meinem Computerhändler fragen? Oder wenn ich die mir runterlade.. also im Internet - aber den Key besitze - dann ist es doch nicht illegal oder?

Und die is ja sogar noch teurer als Home und Prof. hab ich gerad festgestellt beim Internethändler.

So ich will hier nicht zu sehr Off-topic kommen, aber gehört ja alles zum Problem dazu irgendwie .. weil der Trojaner hat ja die ganzen Probleme verursacht mit denen ich mich jetzt befassen muss ;)
(oder ihr auf freiwilliger Basis - DANKE NOCHMAL DAFÜR !! )

Das was du meinst ist Rogue Software. Diese gibt vor nützlich zu sein, entpuppt sich aber selbst als Schädling.
Ich rate dir keinen Pfennig dafür auszugeben, schon garnicht für Norton. Ich empfehle dir eine kostenlose Alternative, in dem Fall AntiVir. Es ist nunmal die beste Virenklingel, z.T. auch besser wie die kostenpflichtigen.
Bei Secunia kannst du nachschauen, welche Software von dir nichtmehr aktuell ist. Veraltete Software sind nämlich die meisten Ursachen für Infektionen, besonders in Sachen Rogue.
Sofern es nur Bilder, Musikstücke und Textdateien sind, Kannst du das problemlos machen. Beim anschließen des Datenträgers bitte aber die [Shift]-Taste gedrückt halten, sodass der Autostart unterbunden wird.
Spiel dir doch XP drauf, das ist doch imo einfacher. Du kannst natürlich auch in einem Computerfachladen fragen - fragen kostet bekannermaßen ja nix. Wenn er dir nicht helfen kann, meldest du dich zwecks dem Problem nochmal hier.
Was man eigentlich kauft, ist nicht die CD sondern der Lizenz-Key, der das Betriebssystem freischaltet.
Wie gesagt, statt ein Antivirenprogramm zu kaufen würde ich dir eher XP raten. :D
Es ist dein Thread und es gehört alles dazu. Stell also alle Fragen, die du an uns/mich hast. ;)

Bitteschön. :)

Jetzt habe ich SD Fix nach der Anleitung angewendet.
Nach kurzer Zeit kam diese Meldung:
---------------------------
C:\PROGRA~1\Symantec\S32EVNT1.DLL . Die Initialisierung der DLL für einen installierbaren virtuellen Gerätetreiber ist fehlgeschlagen. schließen sie jetzt die Anwendung.
----------------------------

immer wenn ich dann auf schließen geklickt habe, kam das Fenster wieder, also musste ich "ignorieren" klicken. Danach gings normal weiter mit SD Fix. Was das zu bedeuten hatte - k.A.

Nach dem Neustart kam die Meldung nocheinmal, ließ sich dann aber schließen.
Hier nun mein SD Fix log

--- und hier mein Hijackthis report -----

das ihr da durchblickt - einfach unglaublich ; ) bewundernswert

Sieht gut aus, SDFix hat den TDSSServ-Rootkit entfernt.
Kannst du bitte ein Hijackthis Logfile der aktuellen Version posten? :)

Sieht gut aus, SP3 noch installieren.
Dann wars das.

SP 3 installieren?
ok, hab mal gehört mit diesem Service Pack und einigen anderen Programmen soll es Schwierigkeiten geben. Was sind die Vorteile von SP 3 ?

Soll ich mein Windows vorsichtshalber doch mal neu drauf machen, also Format C mithilfe der Discovery DVD? (wird mir jetzt von Packard Bell zugeschickt)

Ich weiß das hat dann nix mehr mit dem Trojaner zu tun, aber vielleicht wird dann mein PC schneller oder so!?

Was das SP3 macht?
Wichtige Sicherheitspatches installieren!

Wenn du Neuaufsetzen willst, dann kannst du das mit der Recovery DVD machen, ja.

Kostet das Service Pack 3 was und wo kann ich das laden?
Bei Microsoft stand was von 12 stündiger Downloadzeit, aber das kann nich sein oder? Wär zwar nich schlimm, aber krass. Aber die erste Frage wär wichtiger.

Warum sollte denn ein Update von Microsoft was kosten? :confused:

Hier: Service Pack 3

na weil das raffgierige (ex)Monopolisten sind ..
hätte ja sein können. Ich glaub aber jetzt ist mein Problem wirklich weitgehend behoben.

MfG und Danke nochmal für alles !

Schon, aber die schneiden sich sicher nicht ins eigene Fleisch. ;)

Bitteschön und einen schönen Abend noch. :party: