Trojaner-Board - Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten (https://www.trojaner-board.de/61441-virus-verhindert-updates-besuch-anti-viren-softwareherstellerseiten.html)

Virus verhindert Updates und Besuch von Anti-viren-Softwareherstellerseiten

Hallo Leute,

ich habe ein ziemlich schweres Problem. Es mag viel zum Lesen sein, aber bitte hört nicht auf, ich bin verzweifelt und weiß nicht wirklich weiter.

Es scheint, als wäre ein Virus o.ä. auf meinem Laptop, denn das Updaten von Antivirensoftware ist nicht mehr möglich. Auch ist es mir nicht möglich die Webseiten von Softwareherstellern wie kaspersky.com; eset.com; bitdefender.de; trend-micro.com; (symantec.com); etc. zu besuchen. Es kommt immer die Meldung (im Firefox): "Verbindung fehlgeschlagen" und die IP ist die folgende: 127.0.0.1 (der Laptop selbst). Dieselbe IP steht auch im CMD beim "ping .....". Muss also Loopback können, diese Schadsoftware.

Der Virus hat die Arbeitsgeschwindigkeit meines Laptops enorm heruntergedrückt. Das Internet funktioniert auch nicht immer.

Beim suchen mit Google werden mir manche Seiten nicht gezeigt, stattdessen komm ich auf Pornographie-Seiten. Wenn ich es schaffe (Link man. kopieren) und etwas downloaden will, kommt in fast 90% der Fälle das untere Bild - der Name der Datei (hijackthis) ändert sich entsprechend dem Download und die Dateifröße von 82kb ist immer gleich.

http://krasduri.kr.funpic.de/upload/...20download.JPG

Als ersten Schritt habe ich die folgende Software benutzt um den Virus zu finden:
- Kaspersky Internet Security 2009 (hatte ich vorher installiert)
- Kaspersky Internet Security 2007
- Stinger (aktuellste Version)
- Dr. Web Cure It
- MWAV
- eScan
- NOD Smart Security
- NOD32 Anti virus 2.7 (ohne Updates, da unmöglich)
- Bitdefender Online Scanner (in der Schule möglich)

Nach 1.5 Tagen Entäuschung suchte ich wieder bei Google und lies etwas über die "hosts"-Datei. Diese ist bei mir sauber und zudem habe ich sie ersetzt, durch die von meinem Standrechner.
Dann las ich vom bekannten Virus "Dos AgoBot", mit einem Entfernungstool suchte ich und fand nix.

Ich finde keine andere Lösung. Daher würde ich mich überaus freuen, wenn Ihr mir helfen könntet. Als letzte Option steht ja noch das HDD-Shredding und Neuinstallation von Windows, allerdings würde es mich sehr traurig stimmen dies machen zu müssen.

Ich wollte so viele Infos wie möglich für Euch hier stellen und habe auch eine Logfile von HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:14:10, on 06.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\rundll32.exe

C:\acer\epm\epm-dm.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Launch Manager\QtZgAcer.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe

C:\Programme\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Acer\eManager\anbmServ.exe

C:\Programme\Rainlendar\Rainlendar.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Eset\nod32krn.exe

C:\Programme\UPHClean\uphclean.exe

C:\WINDOWS\system32\cidaemon.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.at/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://global.acer.c*m

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://admin/proxy.p**

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://ww*.bitdefender.d*/scan_de/scan8/oscan8.cab

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe
 

--

End of file - 5592 bytes

Sollte ich noch etwas für Euch hier bereitstellen können, meldet euch bitte.
Ich freue mich auf jede Hilfe / jeden Tipp / jede Lösung!

MfG activO

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hi ActivO,

ich hatte das selbe Problem, versuche es mal mit MAM ( Malwarebytes Antimalware), ist Freeware.

Falls Du es nicht von der Herstellerseite laden kannst (wegen dem Virus) versuche es über Seiten wie Chip, Pc Welt oder Znet (da drückt der Virus wohl ein Auge zu).

Danach sollte alles wieder laufen ( bei mir tat´s das jedenfalls)

Eigentlich stand hier im Board ein Beitrag von mir dazu aber der is wohl weg :dummguck:

Schreib doch mal ob´s geklappt hat.

Grüße The Jack

DANKE an <root24> und <The Jack> für die tollen Beschreibungen.
Ich werde heute nur mehr die Malwarebytes Anti-Malware Software benutzen, aufgrund des Zeitmangels.
Werde aber morgen die Liste von <root24> durchgehen und euch sofort Bericht erstatten.

Danke,

MfG

Unfassbar, aber das Malwarebytes Antimalware hat mich befreit, das Updaten geht, die Internetseiten gehen, toll. Morgen mach ich noch die Liste von <roo24> inkl. der Log-Files (Auch das Log-File von heute ...).

Danke für den Tipp <The Jack> ;),

:aplaus::alc:

Gruß,

1) Hier die neue HJT-Log-Datei:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:48:01, on 07.10.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\system32\rundll32.exe

C:\acer\epm\epm-dm.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\Programme\Launch Manager\QtZgAcer.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe

C:\Programme\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Rainlendar\Rainlendar.exe

C:\Acer\eManager\anbmServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programme\Eset\nod32krn.exe

C:\Programme\UPHClean\uphclean.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Dokumente und Einstellungen\*\Desktop\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.a*/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht**://global.acer.**m

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = **tp://admin/proxy.*a*

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ht*p://**w.bitdefender.*e/scan_de/scan8/oscan8.cab

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe
 

--

End of file - 5574 bytes

2) Systemwiederherstellung deaktiviert und laut Anleitung wieder aktiviert.

3)

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

4)
- Blacklight:

Code:

10/07/08 17:33:52 [Info]: BlackLight Engine 2.2.1092 initialized

10/07/08 17:33:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)

10/07/08 17:33:52 [Note]: 7019 4

10/07/08 17:33:52 [Note]: 7005 0

10/07/08 17:34:02 [Note]: 7006 0

10/07/08 17:34:02 [Note]: 7011 484

10/07/08 17:34:02 [Note]: 7035 0

10/07/08 17:34:03 [Note]: 7026 0

10/07/08 17:34:03 [Note]: 7026 0

10/07/08 17:34:05 [Note]: FSRAW library version 1.7.1024

10/07/08 17:34:30 [Note]: 7007 0

- Malwarebytes Antimalware (2x ausgeführt, d.h. 2 Log-Files):

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1235

Windows 5.1.2600 Service Pack 2
 

07.10.2008 18:15:02

mbam-log-2008-10-07 (18-15-02).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 127843

Laufzeit: 37 minute(s), 38 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 2

Infizierte Verzeichnisse: 0

Infizierte Dateien: 15
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.

C:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.

C:\WINDOWS\system32\tdssadw.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\tdssinit.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSl.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\tdsslog.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\tdssmain.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssserf.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\tdssserf1.dll (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\tdssservers.dat (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\drivers\tdssserv.sys (Rootkit.Agent) -> Delete on reboot.

Code:

Malwarebytes' Anti-Malware 1.28

Datenbank Version: 1240

Windows 5.1.2600 Service Pack 2
 

07.10.2008 18:55:11

mbam-log-2008-10-07 (18-55-11).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 117998

Laufzeit: 33 minute(s), 25 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\Temp\TDSSabc3.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Durim\Lokale Einstellungen\Temp\TDSS8a8d.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

5) Silent Runners
File-Upload.net - Silent-Runners-Log.zip

6)
Combofix Log-File:
File-Upload.net - Combofix-Log.zip

7) Filelisting-Log-File als ZIP-File auf file-upload.net:
File-Upload.net - Filelisting-Log.zip

Hoffe, es ist alles korrekt. Würde mich auf eine Analyse freuen! :)

MfG

Hast Du zufällig mit MWAV/escan gescannt? Hab da einige Dateien gesehen, die darauf schließen lassen, bin mir da aber nicht ganz sicher, weil MWAV (das für escan typisch ist!) nicht da ist!!
Weiter geht's:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS\QtZgAcer.UNI

C:\WINDOWS\system32\QtBtLib.dll

C:\WINDOWS\system32\drivers\DKbFltr.SYS

C:\WINDOWS\system32\DRIVERS\xmasbus.sys

Danach:

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

drivers to delete:

TDSSSERV

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Ja, ich habe letztes Wochenende auch mit MWAV gescannt, wo Du das siehst, versteh ich nicht. :)
Aber hier die vier Files, die auf virustotal untersucht werden sollten (hab sie als *.html files gespeichert und auf meinen ftp geladen:

C:\WINDOWS\QtZgAcer.UNI

C:\WINDOWS\system32\QtBtLib.dll

C:\WINDOWS\system32\drivers\DKbFltr.SYS

C:\WINDOWS\system32\DRIVERS\xmasbus.sys

-------------------------------------------------------------------------

Hier nun die Log-Datei von Avenger:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\TDSSSERV" not found!

Deletion of driver "TDSSSERV" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Sollte etwas nicht in Ordnung sein, meldest Du dich einfach :).

Danke auf jeden Fall für Deine Mühe/Hilfe!

MfG

Zitat:

Ja, ich habe letztes Wochenende auch mit MWAV gescannt, wo Du das siehst, versteh ich nicht.

eScan/MWAV erstellt da (zumindest der kostenlose nur-scanner) ganz bestimmte Ordner im Windowsverzeichnis. Daher kam ich auf die Idee und wollte von Dir den MWAV-Einsatz bestätigt haben.

Der Rest dürfte an sich okay sein, sofern es eine Bereinigung zulässt (Neuaufsetzen ist bei Schädlingsbefall immer die sicherste Methode), gibt's denn noch Probleme/Auffälligkeiten am System?

Jap, genau das war es auch, (kam aber später darauf, wusste es vorher nicht) der kostenlose nurscanner. Wäre nett, wenn Du mir diesen Ordner nennen könntest, damit ich ihn lösche, da ich den ja nicht mehr brauche. :)

Ja, das dachte ich mir auch vom Neuaufsetzen, aber ich hab ihn neulich (Anfang August 08) neu aufgesetzt und wollte diesen langen Vorgang (Daten hin und her) vermeiden. Aber dank Eurer Hilfe hier im Trojaner-Board läuft eigentlich alles wieder normal, hoffe, dass es auch so bleibt.

Auch Dateien wie cidaemon.exe; cisvc.exe; MDM.exe starten nicht wieder.
Danke nochmal! :taenzer:

Meine letzte Frage:
Kann der Virus eigentlich schon viel länger oben gewesen sein, und ist aber vore kurzem aktiv geworden, da mir vieles von Programmen wie xampp, diversen irc-versionen gelöscht wurde?

MfG activO

Zitat:

damit ich ihn lösche, da ich den ja nicht mehr brauche.

Das sind leere Ordner, die stören nicht weiter.

Zitat:

Kann der Virus eigentlich schon viel länger oben gewesen sein, und ist aber vore kurzem aktiv geworden, da mir vieles von Programmen wie xampp, diversen irc-versionen gelöscht wurde?

Möglich schon, lässt sich aber nun nicht mehr nachvollziehen. Auch wenn es nun scheint, dass der Rootkit TDSSSERV erfolgreich entfernt wurde, die Garantie für ein sauberes System hast Du erst nach dem Neuaufsetzen...

Ich werds mir in den nächsten Tagen überlegen, ob ich die Zeit habe, da bei mir dies alles eher länger dauert, vlt. einen ganzen Tag durch.

Aber, weil du sagst TDSSSERV scheint weg zu sein:

In der Schule dauert das Anmelden auf Windows ziemlich lange, da nach Benutzername- und Passworteingabe der "Begrüßungsschirm" von NOD32 AntiVirus kommt und bis zu 2mins bleibt und nichts getan/gestartet werde kann. Ich muss also immer warten bis er sich dazu entschließt wegzugehen. Kann das am Proxyserver meiner Schule liegen, oder ist das ein Zeichen, dass TDSSSERV nicht vollständig weg ist?

Danke!

MfG,

activO

In der Schule? Wie wo loggst Du Dich da ein? Von Deinem Notebook? :confused:

Ja genau, von meinem Notebook. Mit von der Schule erstellten Benutzername und meinem Passwort. Sobald ich Firefox aufmache, fragt er nach diesen Daten, sonst ist eine Verbindung mit dem Internet nicht möglich.

Bin an der Schul-Domäne angemeldet und am IP-Pool der Schule (mit der Mac-Adr).

Zu Hause läuft alles ganz normal, eben nur nicht in der Schule.

MfG

Was ist das für ein Begrüßungsschirm von NOD32? Taucht der erst jetzt auf? Also nach unserer Bereingungsprozedur, oder was das schon immer, nur jetzt ist er so langsam?