erster post und leider ein problem
 

moin moin, habe mir leider ein/mehrer wiren gefangen. habe im board schon diverse thread dazu gefunden,allerdings immer mit dem hinweis einen eigenne thread zzu erstellen, find ich super.

mein problem:

erkannter backdoor BDS/TDSS.JW und TR/FakeAV.bak2 sind erkannt.

benutze den anti vir von avira.

Folgen sind ich habe ein 2tes sicherheitscenter mit der aufforderung mir msantivir.pro2009 zu landen.

habe hier schon threads mit demselben problem gelesen wollt aber nichts einzeln unternehmen.

wäre super wenn mir jemand helfen könnte.

bzw weitere schritte nennt

regards thomas

dein betriebssystem bräuchten wir noch und den namen der dateien in denen der befall gefunden wird. :)

lg myrtille

betriebssystem ist xp service pack 3.

wie komm ich an die verzeichnisse kann weder aus avira kopiren bzw einen bericht exportieren?

Hi,

ein Fundort würde reichen.. ich vermute er sieht etwa wie folgt aus: C:\windows\system32\drivers\tdss*buchstabensalat*.sys

Wenn der Fundort zutrifft, arbeite bitte folgendes ab:

ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

ComboFix 08-11-13.02 - Cash 2008-11-16 1:29:39.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1660 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Cash\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\karna.dat
c:\windows\msacm32.drv
c:\windows\pi.exe
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\_scui.cpl
c:\windows\system32\av.dat
c:\windows\system32\DelSelf.bat
c:\windows\system32\karna.dat
c:\windows\system32\wini108014.exe
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-10-16 bis 2008-11-16 ))))))))))))))))))))))))))))))
.

2008-11-14 15:50 . 2008-11-14 15:50 <DIR> d-------- c:\dokumente und einstellungen\Cash\Anwendungsdaten\DivX
2008-11-12 18:33 . 2008-09-04 18:15 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 18:33 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-07 15:42 . 2008-11-07 15:42 <DIR> d-------- c:\windows\system32\NtmsData
2008-11-06 14:21 . 2008-11-06 14:21 <DIR> d-------- c:\dokumente und einstellungen\Cash\Anwendungsdaten\InterVideo
2008-11-06 13:05 . 2008-11-06 13:05 <DIR> d-------- c:\programme\Avira
2008-11-06 13:05 . 2008-11-06 13:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-11-06 13:00 . 2006-09-25 04:44 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Vorlagen
2008-11-06 13:00 . 2006-09-25 05:35 <DIR> dr------- c:\dokumente und einstellungen\Cash\Startmenü
2008-11-06 13:00 . 2006-09-25 05:41 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Netzwerkumgebung
2008-11-06 13:00 . 2008-11-06 15:16 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Lokale Einstellungen
2008-11-06 13:00 . 2008-11-06 13:00 <DIR> dr------- c:\dokumente und einstellungen\Cash\Favoriten
2008-11-06 13:00 . 2008-11-14 16:50 <DIR> dr------- c:\dokumente und einstellungen\Cash\Eigene Dateien
2008-11-06 13:00 . 2006-09-25 05:41 <DIR> d--h----- c:\dokumente und einstellungen\Cash\Druckumgebung
2008-11-06 13:00 . 2008-11-14 16:49 <DIR> dr-h----- c:\dokumente und einstellungen\Cash\Anwendungsdaten
2008-11-06 13:00 . 2008-11-06 13:00 <DIR> d-------- c:\dokumente und einstellungen\Cash
2008-11-06 07:28 . 2008-11-06 07:28 19,507 --a------ c:\windows\system32\exeqa.reg
2008-11-06 07:28 . 2008-11-06 07:28 17,905 --a------ c:\windows\ogijihex.dll
2008-11-06 07:28 . 2008-11-06 07:28 16,763 --a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\mewo.bat
2008-11-06 07:28 . 2008-11-06 07:28 16,303 --a------ c:\windows\ovuxorusi.vbs
2008-11-06 07:28 . 2008-11-06 07:28 14,985 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ydevehanuc.bat
2008-11-06 07:28 . 2008-11-06 07:28 14,549 --a------ c:\programme\Gemeinsame Dateien\acatoqys.pif
2008-11-06 07:28 . 2008-11-06 07:28 13,393 --a------ c:\windows\system32\uhafusaz.bin
2008-11-06 07:28 . 2008-11-06 07:28 13,176 --a------ c:\windows\system32\bacux.dll
2008-11-06 07:28 . 2008-11-06 07:28 12,290 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ibut.scr
2008-11-06 07:28 . 2008-11-06 07:28 12,139 --a------ c:\windows\system32\iwuqecutof.scr
2008-11-06 07:28 . 2008-11-06 07:28 11,508 --a------ c:\windows\system32\ekuxinik.inf
2008-11-06 07:28 . 2008-11-06 07:28 11,050 --a------ c:\programme\Gemeinsame Dateien\felawelyda.bin
2008-11-06 06:33 . 2008-11-06 06:33 19,997 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\doqikynyg.bat
2008-11-06 06:33 . 2008-11-06 06:33 19,035 --a------ c:\windows\system32\focure.dat
2008-11-06 06:33 . 2008-11-06 06:33 18,560 --a------ c:\windows\system32\zysyrujo.sys
2008-11-06 06:33 . 2008-11-06 06:33 18,315 --a------ c:\windows\izohyzomy.pif
2008-11-06 06:33 . 2008-11-06 06:33 17,612 --a------ c:\windows\gupymetedo.dll
2008-11-06 06:33 . 2008-11-06 06:33 17,381 --a------ c:\windows\avyby.scr
2008-11-06 06:33 . 2008-11-06 06:33 16,431 --a------ c:\windows\ajivosic.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,854 --a------ c:\programme\Gemeinsame Dateien\irur.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,262 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\vamy.pif
2008-11-06 06:33 . 2008-11-06 06:33 15,128 --a------ c:\windows\uhajujola._sy
2008-11-06 06:33 . 2008-11-06 06:33 14,673 --a------ c:\programme\Gemeinsame Dateien\gazofadom.reg
2008-11-06 06:33 . 2008-11-06 06:33 13,838 --a------ c:\windows\system32\arihywy.bat
2008-11-06 06:33 . 2008-11-06 06:33 13,336 --a------ c:\windows\bexony.scr
2008-11-06 06:33 . 2008-11-06 06:33 13,329 --a------ c:\dokumente und einstellungen\tom\Anwendungsdaten\ahetufiti.pif
2008-11-06 06:33 . 2008-11-06 06:33 11,039 --a------ c:\windows\system32\xege.dl
2008-11-06 06:32 . 2008-11-06 06:36 <DIR> d-------- c:\programme\AntivirusPro2009
2008-11-06 06:22 . 2008-11-06 12:39 2,444 --a------ c:\windows\system32\TDSScbqp.dll
2008-11-06 06:22 . 2008-11-06 12:39 679 --a------ c:\windows\system32\TDSSpqxt.dat
2008-10-23 18:46 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll
2008-10-16 17:38 . 2008-09-08 11:41 333,824 -----c--- c:\windows\system32\dllcache\srv.sys
2008-10-16 17:37 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe
2008-10-16 17:37 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe
2008-10-16 17:37 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-06 21:09 --------- d-----w c:\dokumente und einstellungen\tom\Anwendungsdaten\Dreamlords
2008-11-06 13:19 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-06 13:16 --------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2008-11-06 06:28 14,233 ----a-w c:\programme\Gemeinsame Dateien\abur.lib
2008-11-06 06:28 10,736 ----a-w c:\programme\Gemeinsame Dateien\qowilyx.dl
2008-11-06 05:33 15,699 ----a-w c:\programme\Gemeinsame Dateien\mahuramav.inf
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-20 7581696]
"Muscbrigade"="c:\musicbrigade\Musicbrigade.exe" [2005-12-20 40960]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-10-19 286720]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Antivirus Pro 2009"="c:\programme\AntivirusPro2009\AntivirusPro2009.exe" [2008-11-05 596811]
"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 c:\windows\RTHDCPL.EXE]
"nwiz"="nwiz.exe" [2006-07-20 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll
"wave1"= c_016341.nls
"midi1"= c_016341.nls
"mixer1"= c_016341.nls
"aux1"= c_016341.nls
"wave2"= c_016341.nls
"midi2"= c_016341.nls
"mixer2"= c_016341.nls
"aux2"= c_016341.nls

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dreamlords\\dreamlords.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-09-25 1527900]
S3 gUSBSTOi;gUSBSTOi;\??\c:\dokume~1\tom\LOKALE~1\Temp\gUSBSTOi.sys []
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Cash\Anwendungsdaten\Mozilla\Firefox\Profiles\k2881ij7.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-16 01:34:30
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-16 1:36:37 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-11-16 00:36:34

Vor Suchlauf: 29 Verzeichnis(se), 291.471.360.000 Bytes frei
Nach Suchlauf: 29 Verzeichnis(se), 291,632,553,984 Bytes frei

163 --- E O F --- 2008-11-13 20:01:53

combofix lief nur unter dem admin hoffe das ist io.

weil ich den nicht nutze für den normalgebrauch.

Hi,

das Log zeigt Anzeichen von sehr viel mehr als TDSS und Fakealert. Falls du OnlineBanking betreibst, solltest du auf jedenfall sofort deine Passwörter ändern und den Account fürs erste sperren lassen!
Du hast einen Silentbanker an Board, der versucht deine Passwörter auszulesen und an deine TANs zu kommen.
Du solltest außerdem auch alle Passwörter von einem sauberen Rechner aus ändern.

Die sicherste Variante für deinen Rechner ist in diesem Fall das Neuaufsetzen. Wir können gern ein Bereinigen garantieren, aber es gibt am Schluss keine Garantien was die Vertrauenswürdigkeit deines Rechners angeht.

Erstell für mich bitte (unabhängig von deiner Entscheidung) ein FileListing mit diesem script:

• Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
• Doppelklick auf listing8.cmd auf dem Desktop
• nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

lg myrtille.

moin moin, sind ja schlechte nachrichten. allerdings ist auf dem pc nichts wichtiges, also werd ich ihn plattmachen.

hier der link für das log von listing 8

http://www.file-upload.net/download-1256799/listing.txt.html

danke für die schnelle hilfe.

Hi,

danke für die Logdatei :)

Befolge am besten die Anleitung zum Neuaufsetzen um die Risiken einer erneuten Infektion zu minimieren. :)

lg myrtille