Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   backdoor und malware befall (https://www.trojaner-board.de/65373-backdoor-malware-befall.html)

El_Kimmo 28.11.2008 15:13
backdoor und malware befall
 
Scan mit Spyware brachte folgendes:

Logfile of Spyware Terminator v2.3.0.488 (db:2.011.028.000)
Scan Time: 28.11.2008 14:40:10 length: 23 s
Platform: WXP (5.1.0.2600)
User: Admin
Boot Mode: Normal
Scan type: Fast_Spyware_Scan
Scanned Objects: 43888 (Critical:2)
Filter: No System items, No Safe items, No Invalid items

Running Processes
aawservice.exe [Lavasoft] : C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
AppleMobileDeviceService.exe [Apple Inc.] : C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
nvsvc32.exe [NVIDIA Corporation] : C:\WINDOWS\system32\nvsvc32.exe
PnkBstrA.exe : C:\WINDOWS\system32\PnkBstrA.exe
SBCSSvc.exe [Sunbelt Software] : C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
iPodService.exe [Apple Inc.] : C:\Programme\iPod\bin\iPodService.exe
UnlockerAssistant.exe : C:\Programme\Unlocker\UnlockerAssistant.exe
SBCSTray.exe [Sunbelt Software] : C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
SystemWiper.exe [iISoftware] : C:\Programme\iISystem Wiper\SystemWiper.exe

Internet Settings
R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyOverride = *.local
R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain =
R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName =

BHO
02 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - [Yahoo! Inc.] : C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

Toolbars
03 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - [Yahoo! Inc.] : C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

StartUps
04 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, iIWiper : [iISoftware] : C:\Programme\iISystem Wiper\SystemWiper.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, UnlockerAssistant : : C:\Programme\Unlocker\UnlockerAssistant.exe
04 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SBCSTray : [Sunbelt Software] : C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
04 - Startup: %STARTUP%\Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk [klickTel AG] : C:\Programme\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE

Shell Extensions
- {C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} - [Sun Microsystems, Inc.] : C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
- {087B3AE3-E237-4467-B8DB-5A38AB959AC9} - [Sun Microsystems, Inc.] : C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
- {63542C48-9552-494A-84F7-73AA6A7C99C1} - [Sun Microsystems, Inc.] : C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
- {3B092F0C-7696-40E3-A80F-68D74DA84210} - [Sun Microsystems, Inc.] : C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll
WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : C:\Programme\WinRAR\rarext.dll
RealOne Player Context Menu Class - {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - [RealNetworks, Inc.] : C:\Programme\Real\RealPlayer\rpshell.dll
Nokia Phone Browser - {416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} - [Nokia] : C:\Programme\Nokia\Nokia PC Suite 6\PhoneBrowser.dll
Message View - {C0C4375A-5B72-4efe-929D-3B848C3A1E91} - [Nokia] : C:\Programme\Nokia\Nokia PC Suite 6\MessageView.dll
UnlockerShellExtension - {DDE4BEEB-DDE6-48fd-8EB5-035C09923F83} - : C:\Programme\Unlocker\UnlockerCOM.dll
iTunes - {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} - [Apple Inc.] : C:\Programme\iTunes\iTunesMiniPlayer.dll
Desktop Explorer - {1CDB2949-8F65-4355-8456-263E7C208A5D} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll
- {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll
nView Desktop Context Menu - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll

Protocol Handler
IEProtocolHandler Class - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - [Skype Technologies] : C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll

Services
23 - [Lavasoft] : C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
23 - [Apple Inc.] : C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
23 - [GEAR Software Inc.] : C:\WINDOWS\system32\DRIVERS\GEARAspiWDM.sys
23 - [Realtek Semiconductor Corp.] : C:\WINDOWS\system32\drivers\RtkHDAud.sys
23 - [Apple Inc.] : C:\Programme\iPod\bin\iPodService.exe
23 - [NVIDIA Corporation] : C:\WINDOWS\system32\nvsvc32.exe
23 - : C:\WINDOWS\system32\PnkBstrA.exe
23 - [Realtek Semiconductor Corporation] : C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
23 - [Sunbelt Software] : C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
23 - : C:\WINDOWS\system32\drivers\sbhr.sys

IE URL Search Hooks
Yahoo! Toolbar - {{EF99BD32-C1FB-11D2-892F-0090271D4F88}} - [Yahoo! Inc.] : C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

Threat Files
<Backdoor.TDSS.asz> : C:\WINDOWS\system32\TDSSnrsr.dll
<Backdoor.TDSS.atb> : C:\WINDOWS\system32\TDSSriqp.dll

Advanced Files Report
%PROGRAMFILES%\Lavasoft\Ad-Aware\aawservice.exe [Lavasoft] [Ad-Aware Service] MD5=17067069B9A7865028C1F2E6971D0CCC SIZE=611664
%PROGRAMFILES%\Lavasoft\Ad-Aware\CEAPI.dll [Lavasoft] [CEAPI Dynamic Link Library] MD5=4E0BC5EA2FAF42E7702F80BC69EF7EAB SIZE=804200
%PROGRAMFILES%\Lavasoft\Ad-Aware\PKArchive85u.dll [PKWARE, Inc.] [PKWARE Archive API] MD5=46374252AFA0A37F4F7AF528F6F16B96 SIZE=907096
%PROGRAMFILES%\Alwil Software\Avast4\German\Base.dll [ALWIL Software] [avast! Antivirus] MD5=841E57A717788EDEE7CB69FB01FCDB81 SIZE=65536
%SYSDIR%\CNMLM85.DLL [CANON INC.] [Canon IJ Printer Driver] MD5=DF6BE05B03F506A62B3EB786D0336ED1 SIZE=197632
%SYSDIR%\spool\PRTPROCS\W32X86\CNMPD85.DLL [CANON INC.] [Canon IJ Printer Driver] MD5=FEC3ACE4D5E9B8B13C401941EE50F476 SIZE=27136
%COMMONFILES%\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe [Apple Inc.] [Apple Mobile Device Service] MD5=F293992F9CEEF6EA00CE52C3094E59E9 SIZE=116040
%SYSDIR%\nvsvc32.exe [NVIDIA Corporation] [NVIDIA Driver Helper Service, Version 93.71] MD5=0FEBE37DB6650FAA5965C00545009D1D SIZE=159810
%SYSDIR%\nvapi.dll [NVIDIA Corporation] [NVIDIA Windows drivers] MD5=A007278EC9D59216274DD0154FF0BBAA SIZE=212992
%SYSDIR%\PnkBstrA.exe MD5=831883B107684301F48ACE752C963984 SIZE=66872
%PROGRAMFILES%\Sunbelt Software\CounterSpy\SBCSSvc.exe [Sunbelt Software] [CounterSpy SDK] MD5=5F8945CF66D646A8CF2A0E207F1241B3 SIZE=788976
%PROGRAMFILES%\Sunbelt Software\CounterSpy\SBTE.dll [Sunbelt Software] [CounterSpy SDK] MD5=0B74C580C47E3BF3E791650FB3D03B21 SIZE=1003504
%PROGRAMFILES%\Sunbelt Software\CounterSpy\SBAP.dll [Sunbelt Software] [CounterSpy SDK] MD5=9E369139772416DBA28855DCB3EAC40B SIZE=1292784
%PROGRAMFILES%\Sunbelt Software\CounterSpy\SBFDAccessLayer.dll [Active Protection SDK] MD5=627C4FC7D98309441EBED4CE0EB5F1E6 SIZE=576312
%PROGRAMFILES%\Sunbelt Software\CounterSpy\XmlSerialize.dll [Sunbelt Software] [CounterSpy SDK] MD5=1F246CC7285F40DA3D4D25B6C27B005C SIZE=174576
%PROGRAMFILES%\Sunbelt Software\CounterSpy\SBCSRes.dll [Sunbelt Software] [CounterSpy SDK] MD5=CD991799ACAA6E1D08418AFA9DC0C3D3 SIZE=911856
%PROGRAMFILES%\Alwil Software\Avast4\German\Lang.dll [ALWIL Software] [avast! Antivirus] MD5=8D5F6FFF90155E0D4A626CE1D94BD83E SIZE=2555904
%PROGRAMFILES%\Alwil Software\Avast4\German\langmai.dll [ALWIL Software] [avast! Antivirus] MD5=2F8A28BE137214443944E808D0A70F1B SIZE=44032
%PROGRAMFILES%\iPod\bin\iPodService.exe [Apple Inc.] [iTunes] MD5=3E1544C58548E3332C3F11768BEDE52E SIZE=536872
%PROGRAMFILES%\iPod\bin\iPodService.Resources\de.lproj\iPodServiceLocalized.DLL [Apple Inc.] [iTunes] MD5=A64C749836ECAE887E78F36D669D3FE4 SIZE=43520
%PROGRAMFILES%\iPod\bin\iPodService.Resources\iPodService.DLL [Apple Inc.] [iTunes] MD5=51CA810FB3C11370F3904165036A31A5 SIZE=42496
%PROGRAMFILES%\Unlocker\UnlockerHook.dll MD5=78D62115F51B641A9F12AFDF50A352FC SIZE=4608
%PROGRAMFILES%\OpenOffice.org 2.1\program\shlxthdl.dll [Sun Microsystems, Inc.] MD5=AC548E2D1AEA3B1C4FF3DC9BB737383D SIZE=335872
%PROGRAMFILES%\OpenOffice.org 2.1\program\uwinapi.dll [Sun Microsystems, Inc.] MD5=0724A7FEF633C670ED97E047808E8985 SIZE=98304
%PROGRAMFILES%\OpenOffice.org 2.1\program\stlport_vc7145.dll [STLport Consulting, Inc.] [STLport Standard ANSI C++ Libarary] MD5=D66A53BD97E40512C20E99260D43FD11 SIZE=577536
%PROGRAMFILES%\iTunes\iTunesHelper.Resources\de.lproj\iTunesHelperLocalized.DLL [Apple Inc.] [iTunes] MD5=59F42576BED9D61502F4B057DED8CAD3 SIZE=43520
%PROGRAMFILES%\iTunes\iTunesHelper.Resources\iTunesHelper.DLL [Apple Inc.] [iTunes] MD5=F6CF001DB2DA7BFDB3F785E005530481 SIZE=42496
%PROGRAMFILES%\QuickTime\QTSystem\QuickTime.qts [Apple Inc.] [QuickTime] MD5=AFDCC9F772B713C98FA28392E7A4BF4A SIZE=13217792
%COMMONFILES%\Apple\Mobile Device Support\bin\iTunesMobileDevice.dll [Apple Inc.] [iTunesMobileDevice] MD5=382D8D60E88E780BD1F031A9D2413605 SIZE=1187840
%SYSDIR%\Macromed\Flash\NPSWF32.dll [Adobe Systems, Inc.] [Shockwave Flash] MD5=3FB0E232B73881A9CF393816BF6371B2 SIZE=2115816
lsdelete
%PROGRAMFILES%\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE [klickTel AG] [Schnellstarter für klickTel] MD5=B6DBAFA27A2E766A434D4640A2E23571 SIZE=4679168
%PROGRAMFILES%\Yahoo!\Companion\Installs\cpn\yt.dll [Yahoo! Inc.] [Yahoo! Toolbar] MD5=A6D643A5F5B416FCC1C8049BBAF763BA SIZE=817936
deskpan.dll
%PROGRAMFILES%\WinRAR\rarext.dll MD5=3458E55E74B620F0C07D2E82F48E4156 SIZE=126976
%PROGRAMFILES%\ICQLite\ICQLiteShell.dll
%PROGRAMFILES%\Real\RealPlayer\rpshell.dll [RealNetworks, Inc.] [RealPlayer] MD5=68718FBFE1513AAEED9BF319D912BB47 SIZE=49198
%PROGRAMFILES%\Nokia\Nokia PC Suite 6\PhoneBrowser.dll [Nokia] [Phone Browser] MD5=2861FD3CE98A4D49F19446E285E2FD20 SIZE=516096
%PROGRAMFILES%\Nokia\Nokia PC Suite 6\MessageView.dll [Nokia] [Phone Browser Message View] MD5=71431373C6A5A019DA89EA6207B245B6 SIZE=256512
%PROGRAMFILES%\Unlocker\UnlockerCOM.dll MD5=DA66CEAF1DEF4DA337F1542E0308483D SIZE=10240
%PROGRAMFILES%\iTunes\iTunesMiniPlayer.dll [Apple Inc.] [iTunes] MD5=F3D72B08AE85EC06417BDFB8DA24B6EA SIZE=132392
%SYSDIR%\nvshell.dll [NVIDIA Corporation] [NVIDIA Desktop Explorer, Version 110.60] MD5=4450BBAF1B77F2B87AB9C5EE4E69532C SIZE=466944
%SYSDIR%\svchost.exe -k netsvcs
%SYSDIR%\svchost -k DcomLaunch
%SYSDIR%\svchost.exe -k NetworkService
%SYSDIR%\DRIVERS\GEARAspiWDM.sys [GEAR Software Inc.] [CD DVD Filter] MD5=AB8A6A87D9D7255C3884D5B9541A6E80 SIZE=15464
%SYSDIR%\drivers\RtkHDAud.sys [Realtek Semiconductor Corp.] [Realtek(r) High Definition Audio Function Driver (HRTF data Copyright 1994 by MIT Media Lab)] MD5=909D03B3B7FB7C830B74F74F4D0EA7CE SIZE=4304384
%SYSDIR%\svchost.exe -k LocalService
%SYSDIR%\svchost -k rpcss
%SYSDIR%\DRIVERS\Rtenicxp.sys [Realtek Semiconductor Corporation] [Realtek 10/100/1000 NIC Family all in one NDIS Driver] MD5=D6E1B1BD04FAD422AF17FC4B810CB9AF SIZE=78976
%SYSDIR%\drivers\sbhr.sys [Active Protection SDK] MD5=C6EA8D8C6442648746F69E3D75CACF98 SIZE=15544
%SYSDIR%\svchost.exe -k imgsvc
%SYSDIR%\svchost.exe -k WudfServiceGroup
%COMMONFILES%\Skype\Skype4COM.dll [Skype Technologies] [Skype4COM] MD5=1FBFDD76B096C617AE911B57CFAE7798 SIZE=1828440
%SYSDIR%\vxblock.dll [Sonic Solutions] MD5=454CB3FCA343B5612E808ABA75311273 SIZE=39672
%WINDIR%\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ITA.dll [Microsoft Corporation] [Microsoft® Visual Studio® 2005] MD5=CB23B162AC655F24C6711A5F5DF348C6 SIZE=61440
%WINDIR%\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll [Microsoft Corporation] [Microsoft® Visual Studio® 2005] MD5=1B7524806D0270B81360C63A2FA047CB SIZE=1101824
%SYSDIR%\MFC71DEU.DLL [Microsoft Corporation] [Microsoft® Visual Studio .NET] MD5=C94D9D5B96D385586063093BAAD8F206 SIZE=65536

End of Report

Ein Scan mit Counterspy das hier:

Scan History Details
Start Date: 28.11.2008 14:42:09
End Date: 28.11.2008 14:49:52
Total Time: 7 Min 43 Sec
Detected security risks

Cookie: ATDMT.com Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\dokumente und einstellungen\lea\cookies\lea@atdmt[1].txt


Cookie: DoubleClick Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\dokumente und einstellungen\detlef\cookies\detlef@doubleclick[1].txt


Cookie: Weborama Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\dokumente und einstellungen\lea\cookies\lea@weborama[2].txt

außerdem hab ich den ordner WINDOWS mit avast überprüft und der hat ein ROOTKIT gefunden (was ist das ) die logfile stell ich gleich auch noch rein

Lumitu 30.11.2008 13:59
Hallo,

also du solltest zuerst mal einen Hickjackthis Logfile posten.

danach mal das Tool Malwarebytes Antimalware ausführen und Malware canceln.

Poste bitte auch dein System!

Gruß Lumitu

P.S.: Les dir mal das hier zu Rootkit durch

El_Kimmo 30.11.2008 19:55
also hie die logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:53:30, on 30.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [iIWiper] C:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download Video on This Page - C:\Programme\Tomato\TubeDownload\TDIEPage.html
O8 - Extra context menu item: Download Video This Links To - C:\Programme\Tomato\TubeDownload\TDIELink.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177158109359
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 8638 bytes
und ja mit malwarebyte sgibt es ein problem, das wird geblockt genauso wie combofix

Lumitu 30.11.2008 21:06
Zitat:
mit malwarebyte sgibt es ein problem, das wird geblockt genauso wie combofix
Wie wird das geblockt? führt der Pc das Programm garnicht aus?

Mit ComboFix musst du auch extrem Vorsichtig sein!

Gruß Lumitu

john.doe 30.11.2008 21:11
Mach mal erst das:
Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort den Treiber TDSSserv.sys deaktivieren und andere TDSS Treiber.
=> Rechner neustarten, nochmal probieren.

El_Kimmo 01.12.2008 21:08
wo is denn da ansicht ???

john.doe 01.12.2008 21:19
In der Menüzeile: Datei Aktion Ansicht

El_Kimmo 01.12.2008 21:20
also hab das jetzt gemacht und spyware terminator konnte das löschen bzw. entfernen. Malwarebytes kann ich jetzt auch ausführen.sogar antivir meldete sofort das backdoor programm


was muss ich ejtzt noch machen, wie kann ich sichergehen das die jetzt vollkommen entfernt wurden ???

john.doe 01.12.2008 21:23
Wir brauchen die Logs, die sollst du hier posten, sonst können wir dir nicht helfen.

El_Kimmo 01.12.2008 21:28
Also ich mach jetzt ersma einen komplett scan mit Malwarebytes , hier ist schonmal die logfile von hijack this die ich gerade gemacht habe

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:20:46, on 01.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\iISystem Wiper\SystemWiper.exe
C:\Programme\Telefonauskunft und Rückwärtssuche\Telefonauskunft + Rückwärtssuche auf CD-ROM\KSTART32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [iIWiper] C:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ?
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download Video on This Page - C:\Programme\Tomato\TubeDownload\TDIEPage.html
O8 - Extra context menu item: Download Video This Links To - C:\Programme\Tomato\TubeDownload\TDIELink.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1177158109359
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 8993 bytes

john.doe 01.12.2008 21:35
Bevor du in der Mülltonne landest, lies hier nochmal genau:
http://www.trojaner-board.de/22770-a...log-files.html

Starte Hijackthis => Do a system scan only => Markiere folgende Einträge:
Code:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [iIWiper] C:\Programme\iISystem Wiper\SystemWiper.exe m
O4 - Startup: Telefonauskunft und Rückwärtssuche auf CD-ROM - Schnellstarter.lnk = ?
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
=> Fix checked.

Deinstalliere folgende Programme über Start=>Systemsteuerung=>Software:
  • Ad-Aware
  • Counterspy
  • Spyware Terminator
  • Java

El_Kimmo 01.12.2008 21:56
java auch ?? und muss dann ers malwarebytes durchlaufen lassen ? und ja die tastatur hab ich gerade hie dummerweise in englisch umgestellt aber nur hier wnn cih antworte kannste mir da auch helfen

john.doe 01.12.2008 22:04
Du hast eine uralte Java-Version. Wir laden und installieren zum Schluss eine Neue. Keine Sorge. :)

Du musst nicht warten bis Malwarebytes fertig ist.

Die deutsche Tastatur kannst du auf 2 Arten erreichen:
  1. Links neben dem Systemtray (unten rechts die vielen Symbole) sollte ein blauer Kasten mit EN zu sehen sein. Dort draufklicken bis DE kommt.
  2. [Umschalt/Shift] festhalten, kurz auf [Alt] drücken

El_Kimmo 01.12.2008 22:13
ich kann java nicht finden und counterspy find ich zwar aber keine uninstall datei / habs dch gefunden ^^

Also hab alles deinstalliert und die anderen sachen gefixt,

ich hab noch die Backdoor programme und das rootkit bei antivir in quarantäne

john.doe 01.12.2008 22:24
Bitte halte dich genau an die Anweisungen, sonst wird das hier nichts. Von Antivir habe ich nichts gesagt.

El_Kimmo 01.12.2008 22:26
ja die sind da auch nur drin als ich vorhin diese treiber ausgeschaltet habe wie du gesagt hast und cih dann neugestarte hab hat sich antivir sofort ge,eldet zu deisen viren, das hat es vorher auch nich gemacht und die sind jetzt halt noch in quarantäne weil ich die nich sofort löschen wollte

john.doe 01.12.2008 22:33
Viren immer sofort löschen. Die Quarantäne hat nur den Sinn, die Dateien weiter analysieren zu können. Das brauchen wir in deinem Fall aber nicht, da sie bekannt sind.

Hast du schon das Log von Malwarebytes?

Ist die Systemwiederherstellung ausgeschaltet? Falls nicht, dann hole das bitte nach:
Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

El_Kimmo 01.12.2008 22:36
systemwiederherstellunug is ausgeschalte, also soll ich jetzt die dateien in der quarantäne löschen ???

muss ich mit malwarebytes alles durchsuchen oder reicht der WINDOWS ordner unter C: ???

john.doe 01.12.2008 22:40
Zitat:
systemwiederherstellunug is ausgeschalte
:daumenhoc
Zitat:
also soll ich jetzt die dateien in der quarantäne löschen ???
Ja.
Zitat:
muss ich mit malwarebytes alles durchsuchen oder reicht der WINDOWS ordner unter C: ???
Alles. Falls du eine externe Festplatte oder Memorystick hast, dann klemm die auch an.
--
p.s.: Da der Scan einige Zeit dauert, bekommst du noch zwei Aufgaben:

1.) Blacklight ausführen und Logfile posten.

2.) Lade CatchMe auf deinen Desktop und starte es. Klick auf Scan. Wenn der Scan vorbei ist, poste die Datei catchme.log hier.

El_Kimmo 01.12.2008 22:51
Also hier ersma die logfile von C:\ WINDOWS

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1442
Windows 5.1.2600 Service Pack 3

01.12.2008 22:50:06
mbam-log-2008-12-01 (22-50-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 24892
Laufzeit: 10 minute(s), 47 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\jkkJbcay.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

El_Kimmo 01.12.2008 23:05
so mal als frage zwischendurch, wie kann man sich sowas einfangen ???

hier schonmal blacklight log

12/01/08 22:56:06 [Info]: BlackLight Engine 2.2.1092 initialized
12/01/08 22:56:06 [Info]: OS: 5.1 build 2600 (Service Pack 3)
12/01/08 22:56:07 [Note]: 7019 4
12/01/08 22:56:07 [Note]: 7005 0
12/01/08 22:56:14 [Note]: 7006 0
12/01/08 22:56:15 [Note]: 7011 2008
12/01/08 22:56:15 [Note]: 7035 0
12/01/08 22:56:15 [Note]: 7026 0
12/01/08 22:56:15 [Note]: 7026 0
12/01/08 22:56:17 [Note]: FSRAW library version 1.7.1024
12/01/08 23:23:16 [Note]: 7007 0

john.doe 01.12.2008 23:31
Zitat:
so mal als frage zwischendurch, wie kann man sich sowas einfangen ???
<Ironie an>
Anleitung sich möglichst viel Malware in möglichst kurzer Zeit einzufangen:
  1. Oberste Regel ist: Erst klicken, dann denken.
  2. Schalte die automatischen Updates von Windows ab. Diese ständigen Neustarts nerven nur.
  3. Falls du doch automatische Updates machen möchtest, dann akzeptiere die Standardeinstellung von MS für automatische Updates(die ist von 2:00 bis 3:00 Uhr nachts). Schalte vor dem Schlafengehen deinen Computer aus.
  4. Benutze den MSIE, den benutzen ja alle. Benutze eine möglichst alte Version.
  5. Da die Warnungen vom MSIE nerven, wähle als Sicherheitsstufe niedrig aus.
  6. Gehe auf Seiten, auf denen es Warez, Cracks, Keygens gibt. Lade alles runter und starte alles, auch wenn du es gar nicht brauchst.
  7. Besuche Paysites (Schmuddelseiten, bei denen man auch noch bezahlen muss) und klicke überall draufrum.
  8. Wenn du Mails mit Anhängen bekommst oder Links über MSN, ICQ, ... denke nicht nach, sondern immer draufklicken, besonders wenn sie neugierig machende Namen tragen.
<Ironie aus>

Man fängt sich nichts ein. Du hast irgendetwas runtergeladen und du hast irgendetwas installiert oder du hast irgendeinen Anhang angeklickt/geöffnet.

El_Kimmo 01.12.2008 23:33
hmm joa irgendsowas wirds gewesen sein, also der catch me scan dauert ja auch ewig da steht die ganze zeit nur scanning hidden files und registry entries

jetzt steht was bei Files, Type ADS und dann ganz viele , kann die aber nich sehen weil das fenster zu klein ist

john.doe 01.12.2008 23:37
Stoppe Catchme. Warte bis MAM fertig ist.

El_Kimmo 01.12.2008 23:39
ja gut hab ich jetzt gemacht die sachen die der gefunden hat waren glaub ich unter anwendungsdateien

john.doe 01.12.2008 23:40
Catchme hat was gefunden?

El_Kimmo 01.12.2008 23:41
ja der war aber noch ncih fertig halt und was der genau gefunden hat weiß ich nich da ich es ncih sehen konnte müsste aber unter anwendungsdateien gewesen sein

john.doe 01.12.2008 23:43
Oha, nicht gut. Kannst du abschätzen, wie lange MAM noch braucht?

El_Kimmo 01.12.2008 23:44
nee aber bemerke gerade das das immer an einer bestimmten stelle langsamer wird und stehen bleibt

hey das müsste die selbe stelle sein wo catchme was gefunden hat

bartcache bei dem icq von meiner schwester was auch immer ein bartcache ist

doch ncih im bartcache nur im ordner der Bart heißt

john.doe 01.12.2008 23:57
Im bartcache sind die Smileys.

El_Kimmo 01.12.2008 23:59
ja da wurde der auf jedenfall langsam und den teil des pfades den catchme angezeigt hat stimmt halt in gewisser weise mit dem bei MAM überein, was bedeutet das jetzt

john.doe 02.12.2008 00:02
Nichts. Warte aufs Log, dann wissen wir mehr.

El_Kimmo 02.12.2008 00:08
jetzt ist es daran vorbei und läuft wieder normal

also da laufen jetzt gerade die gefühlten achtunzwanzigtausend bilder von meiner schwester durch und der hat nur ganz am anfang schon 2 infizierte dateien gefunden

john.doe 02.12.2008 00:38
Ich hau mich jetzt hin. Aufgaben sind klar. Log posten. Dann Catchme laufen lassen und auch posten.

Gute Nacht, andreas

El_Kimmo 02.12.2008 00:40
ja gut schonmal vielen dank und bis morgen

El_Kimmo 02.12.2008 13:11
hier die logfile von catchme

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 12:55:40
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSifdt.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSifdt.sys"
"TDSSl"="\systemroot\system32\TDSSedwv.dll"
"tdssservers"="\systemroot\system32\TDSSmaxt.dat"
"tdssmain"="\systemroot\system32\TDSSoeqh.dll"
"tdsslog"="\systemroot\system32\TDSSosvn.dll"
"tdssadw"="\systemroot\system32\TDSSnrsr.dll"
"tdssinit"="\systemroot\system32\TDSSriqp.dll"
"tdssurls"="\systemroot\system32\TDSScfgb.log"
"tdsspanels"="\systemroot\system32\TDSSfpmp.dll"
"tdsserrors"="\systemroot\system32\TDSSnmxh.log"
"TDSSproc"="\systemroot\system32\TDSSsbhc.log"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSifdt.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSifdt.sys"
"TDSSl"="\systemroot\system32\TDSSedwv.dll"
"tdssservers"="\systemroot\system32\TDSSmaxt.dat"
"tdssmain"="\systemroot\system32\TDSSoeqh.dll"
"tdsslog"="\systemroot\system32\TDSSosvn.dll"
"tdssadw"="\systemroot\system32\TDSSnrsr.dll"
"tdssinit"="\systemroot\system32\TDSSriqp.dll"
"tdssurls"="\systemroot\system32\TDSScfgb.log"
"tdsspanels"="\systemroot\system32\TDSSfpmp.dll"
"tdsserrors"="\systemroot\system32\TDSSnmxh.log"
"TDSSproc"="\systemroot\system32\TDSSsbhc.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSifdt.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSifdt.sys"
"TDSSl"="\systemroot\system32\TDSSedwv.dll"
"tdssservers"="\systemroot\system32\TDSSmaxt.dat"
"tdssmain"="\systemroot\system32\TDSSoeqh.dll"
"tdsslog"="\systemroot\system32\TDSSosvn.dll"
"tdssadw"="\systemroot\system32\TDSSnrsr.dll"
"tdssinit"="\systemroot\system32\TDSSriqp.dll"
"tdssurls"="\systemroot\system32\TDSScfgb.log"
"tdsspanels"="\systemroot\system32\TDSSfpmp.dll"
"tdsserrors"="\systemroot\system32\TDSSnmxh.log"
"TDSSproc"="\systemroot\system32\TDSSsbhc.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSserv.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys]
"start"=dword:00000001
"type"=dword:00000001
"imagepath"=str(2):"\systemroot\system32\drivers\TDSSifdt.sys"
"group"="file system"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\TDSSserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSifdt.sys"
"TDSSl"="\systemroot\system32\TDSSedwv.dll"
"tdssservers"="\systemroot\system32\TDSSmaxt.dat"
"tdssmain"="\systemroot\system32\TDSSoeqh.dll"
"tdsslog"="\systemroot\system32\TDSSosvn.dll"
"tdssadw"="\systemroot\system32\TDSSnrsr.dll"
"tdssinit"="\systemroot\system32\TDSSriqp.dll"
"tdssurls"="\systemroot\system32\TDSScfgb.log"
"tdsspanels"="\systemroot\system32\TDSSfpmp.dll"
"tdsserrors"="\systemroot\system32\TDSSnmxh.log"
"TDSSproc"="\systemroot\system32\TDSSsbhc.log"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 622

MAM hätte gestern wahrscheinlich insgesamt 4 stunden gedauert ich hab dann abgebrochen weil cih ins bett wollte, aber da war der schon auf D: und da sind nur dateien die ich schonmal durchsucht habe nur unter system 32 hab cih was gefunden und auch gelöscht

john.doe 02.12.2008 21:32
Wo ist das Log von MAM?

El_Kimmo 02.12.2008 21:36
ich hab nur teile davon weil das zwischendurch immer abgekackt ist

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1442
Windows 5.1.2600 Service Pack 3

02.12.2008 21:24:10
Malware Quickscan.txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55397
Laufzeit: 4 minute(s), 0 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\NI.GSCNS (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\User\Anwendungsdaten\NI.GSCNS\dl.ini (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\NI.GSCNS\settings.ini (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSsbhc.log (Trojan.TDSS) -> No action taken.




Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1442
Windows 5.1.2600 Service Pack 3

02.12.2008 13:13:39
mbam-log-2008-12-02 (13-13-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 13586
Laufzeit: 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{73259091-9574-4ed8-a40f-7f65afc28634} (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{73259091-9574-4ed8-a40f-7f65afc28634} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

john.doe 02.12.2008 21:38
Du hast nur gescannt, halte dich an diese Anleitung, es muss komplett durchlaufen:
http://www.trojaner-board.de/51187-a...i-malware.html

El_Kimmo 02.12.2008 21:41
nee ich hab alles gelöscht was ich gefunden hab

und was ich mach ich noch mit den dingern die catchme gefunden hat

john.doe 02.12.2008 21:47
Da ist das Problem, wenn MAM durchgelaufen wäre, dann wären sie nicht mehr da. Also nochmal. Führe diesen Schritt nochmal aus: http://www.trojaner-board.de/65373-b...tml#post396143

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
files to delete:
c:\windows\system32\drivers\TDSSserv.sys
c:\windows\system32\drivers\TDSSifdt.sys
c:\windows\system32\TDSSedwv.dll
c:\windows\system32\TDSSmaxt.dat
c:\windows\system32\TDSSoeqh.dll
c:\windows\system32\TDSSosvn.dll
c:\windows\system32\TDSSnrsr.dll
c:\windows\system32\TDSSriqp.dll
c:\windows\system32\TDSScfgb.log
c:\windows\system32\TDSSfpmp.dll
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSsbhc.log
http://mitglied.lycos.de/efunction/tb/avenger.png
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

El_Kimmo 02.12.2008 22:30
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\windows\system32\drivers\TDSSserv.sys" not found!
Deletion of file "c:\windows\system32\drivers\TDSSserv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\drivers\TDSSifdt.sys" not found!
Deletion of file "c:\windows\system32\drivers\TDSSifdt.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSedwv.dll" not found!
Deletion of file "c:\windows\system32\TDSSedwv.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\windows\system32\TDSSmaxt.dat" deleted successfully.

Error: file "c:\windows\system32\TDSSoeqh.dll" not found!
Deletion of file "c:\windows\system32\TDSSoeqh.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSosvn.dll" not found!
Deletion of file "c:\windows\system32\TDSSosvn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSnrsr.dll" not found!
Deletion of file "c:\windows\system32\TDSSnrsr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSriqp.dll" not found!
Deletion of file "c:\windows\system32\TDSSriqp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSScfgb.log" not found!
Deletion of file "c:\windows\system32\TDSScfgb.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSfpmp.dll" not found!
Deletion of file "c:\windows\system32\TDSSfpmp.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSnmxh.log" not found!
Deletion of file "c:\windows\system32\TDSSnmxh.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\windows\system32\TDSSsbhc.log" not found!
Deletion of file "c:\windows\system32\TDSSsbhc.log" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:30:42, on 02.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\vsnpstd.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\User\Desktop\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Download Video on This Page - C:\Programme\Tomato\TubeDownload\TDIEPage.html
O8 - Extra context menu item: Download Video This Links To - C:\Programme\Tomato\TubeDownload\TDIELink.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?4d756034759342df9342eeac146bbd95
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?4d756034759342df9342eeac146bbd95
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1177158109359
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6837 bytes

john.doe 02.12.2008 22:40
Das Log ist sauber. Zeigt der Rechner noch Auffälligkeiten?

El_Kimmo 02.12.2008 22:43
nö also im moment nich aber was is denn noch mit catchme ??

Und wir müssen noch Java drauf machen und diese TDSS treiber aktivieren oder ??

john.doe 02.12.2008 22:51
Zitat:
aber was is denn noch mit catchme ??
Das machen wir anders.
RootkitRevealer scannen lassen
  • Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
  • Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
  • Starte durch Klick auf "Scan".
  • Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern und hier posten.
Zitat:
Und wir müssen noch Java drauf machen
Erst wenn er sauber ist. Als Vorbereitung kannst du schonmal CCleaner laufen lassen: http://www.trojaner-board.de/51464-a...-ccleaner.html
Zitat:
und diese TDSS treiber aktivieren oder
Das ist ein Virus. Möchtest du den wiederhaben? :)

El_Kimmo 02.12.2008 23:38
also bei dem rootkit revealer , der hat was gefunden,da stehen aber massig an E-Mail adressen drin, muss ich die alle unkenntlich machen ???

CCleaner hab cih auch alles mit weg gemacht was der so angezeigt hat

john.doe 02.12.2008 23:50
Zitat:
also bei dem rootkit revealer , der hat was gefunden,da stehen aber massig an E-Mail adressen drin, muss ich die alle unkenntlich machen ???
Nein, aber bei obigen HJT-Log hättest du das tun sollen.
Zitat:
CCleaner hab cih auch alles mit weg gemacht was der so angezeigt hat
Säubere auch die Registry.

El_Kimmo 02.12.2008 23:52
also registry hab ich schon wie beschrieben gemacht.

Also bei dem rootkitRevealer der hat die meisten sachen beim messenger gefunden und da stehen halt die email adressen dabei die kann ich doch nich einfach hier posten

john.doe 02.12.2008 23:55
Dann mache sie unkenntlich.

El_Kimmo 02.12.2008 23:59
C:\Dokumente und Einstellungen\x\Lokale Einstellungen\Anwendungsdaten\Microsoft\Messenger\x\SharingMetadata\x\DFSR\Staging\CS{7E05A148-CFB6-D3F8-FB7A-C2E1F9AC9F27}\01\333-{7E05A148-CFB6-D3F8-FB7A-C2E1F9AC9F27}- 22.08.2007 20:07 8 bytes Hidden from Windows API.

so sehen die meisten einträge aus, alle unkenntlich zu machen würde zu lange dauern

HKU\S-1-5-21-220523388-1383384898-725345543-1004\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 08.10.2008 23:22 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC* 21.04.2007 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 21.04.2007 12:04 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 02.12.2008 23:00 80 bytes Data mismatch between Windows API and raw hive data.

und das sind die ersten vier die der gefunden hat und der rest sind halt alles die sachen neim messenger

john.doe 03.12.2008 00:05
Dann machen wir es anders:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

El_Kimmo 03.12.2008 00:10
muss ich das mit der wiederherstellungskonsole auch alles machen ?

john.doe 03.12.2008 00:14
Ja oder alternativ http://www.trojaner-board.de/51262-a...sicherung.html

El_Kimmo 03.12.2008 00:16
ich hab echt keine ahnung was cih da jetzt machen soll?? haben wir den systemwiederherastellungsdings nicht abgeschaltet ???

john.doe 03.12.2008 00:19
Boah, bist du ein schwieriger Fall. :schmoll:

Die Systemwiederherstellung ist etwas ganz anderes als die Wiederherstellungskonsole. Die Wiederherstellungskonsole dient dazu Windows reparieren zu können, falls es durch Combofix zerschossen wird.

El_Kimmo 03.12.2008 00:21
das heißt ich muss jetzt meine ganzen daten irgendwo drauf packen oder wie

john.doe 03.12.2008 00:32
:confused:

El_Kimmo 03.12.2008 00:33
^^ kann cih jetzt nich einfach comofix ausführen ??? oder haste noch ne alternative

john.doe 03.12.2008 00:35
Es ist dein Computer, entscheide du.

Die Alternative habe ich dir schon genannt: http://www.trojaner-board.de/51262-a...sicherung.html

El_Kimmo 03.12.2008 00:36
ja das heißt jetzt ich schmeiss windows samt daten udn viren runter oder ???

ich hab mir die anleitung für combofix jetzt ausgedruckt und werd das jetzt mal eben machen, genauso wie es da steht

john.doe 03.12.2008 00:39
Genau. :daumenhoc

El_Kimmo 03.12.2008 00:53
für service pack 3 war nur eine datei vorhanden

El_Kimmo 03.12.2008 01:08
der computer hat gepiept und gesagt das programm ist veraltet

john.doe 03.12.2008 17:47
:confused::confused::confused:

Welches Programm ist veraltet?

So langsam habe ich die Faxen dicke. :schmoll:

Ich habe dir mehrfach geschrieben, dass ich die Logs brauche. Ich warte immer noch auf das vollständige Log von MAM und Combofix. Das da noch was ist, hast du ja selbst gesehen. Nur wenn du dich weigerst das Log vom Rootkit Revealer zu posten, dann kann ich definitiv nichts mehr tun.

Vielleicht findest du ja jemanden, der eine Kristallkugel hat und ohne genaue Informationen alles entfernen kann.

Von mir erhältst du nur noch einen Rat: http://www.trojaner-board.de/51262-a...sicherung.html

El_Kimmo 03.12.2008 20:57
ja combofix ist veraltet hat der gesagt und der log vom rootkitrevealer, wenn ich die email adressen unkenntlich machen soll dann brauch ich dafür nen tag, die sehen alle gleich aus

El_Kimmo 04.12.2008 00:04
Der Komplett scan mit MAM war erfolgreich, nix gefunden



Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1442
Windows 5.1.2600 Service Pack 3

04.12.2008 00:02:17
mbam-log-2008-12-04 (00-02-17).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 200625
Laufzeit: 2 hour(s), 53 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131