|
Trojan.Win32.TDSS.qdw Abend, Habe ein Problem Mit diesem Trojaner "Trojan.Win32.TDSS.qdw" Fehler meldung bei öffnung derC:\ oder E:\ platte:RECYCLER\S-5-1-51-100008667-100013630-10016260-2895.com Habe mein rechner neu gemacht und ein backup auf die E:\ platte gemacht. So rechner ging wieder einwandfrei doch mit der externen e festplatte ging es immer noch nicht und nu habe ich eine Datei von der platte geholt und jetzt habe ich wieder diesen Anfangs fehler mit der C:\ platte. Gibt es einen Filter von Platte zum laptop?? Habe mit Anti Malware diesen oben genannten trojan entfehrnt. Die E:\ zu formatieren wäre bestimmt das beste doch 250 gb muss ich sicher stellen und wie kann ich das am besten machen ohne auf Meine Neue D:\ platte diesen selben virus zu bekommen??E:\platte ist gescannt mit Kaspersky und Adaware nix gefunden!!!! Bitte um hilfe :confused::confused: |
Lade dir Combofix runter. Bevor du es startest schließe alle offenen Programme und deaktiviere alle Anti-Virenprogramme und Anti-Spywareprogramme. Schließe auch alle externen Laufwerke an. Auch USB-Stiks und Cams. Combofix verhindert übrigens die Autostart Funktion. Dort kannst du genaueres nachlesen: Wie Combofix benutzt wird (Bleepingcomputer.com) |
Cool danke scheint funktioniert zu haben.Echt Klasse.Hier noch die auswertung. ComboFix 09-03-04.01 - Shakurmen 2009-03-05 23:24:17.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.511.232 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Shakurmen\Desktop\ComboFix.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\windows\system32\gaopdxcounter E:\Autorun.inf . ((((((((((((((((((((((( Dateien erstellt von 2009-02-05 bis 2009-03-05 )))))))))))))))))))))))))))))) . 2009-03-05 09:00 . 2009-03-05 09:00 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes 2009-03-05 08:59 . 2009-03-03 23:51 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2009-03-05 08:59 . 2009-03-03 23:41 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2009-03-05 08:59 . 2009-03-05 23:25 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2009-03-05 08:59 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2009-03-05 08:59 . 2009-03-05 09:00 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-03-05 08:59 . 2009-03-05 08:59 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-03-05 00:24 . 2009-03-05 00:24 <DIR> d-------- c:\programme\Trend Micro 2009-03-05 00:23 . 2009-03-05 00:23 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Malwarebytes 2009-03-05 00:23 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-03-05 00:22 . 2009-03-05 00:23 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-03-05 00:22 . 2009-03-05 00:22 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-03-05 00:22 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-03-05 00:10 . 2009-03-05 00:24 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Roxio 2009-03-05 00:04 . 2009-03-05 00:04 <DIR> d-------- c:\windows\system32\LogFiles 2009-03-05 00:04 . 2009-03-05 00:06 <DIR> d-------- c:\windows\system32\drivers\UMDF 2009-03-05 00:03 . 2009-03-05 00:03 <DIR> d-------- c:\programme\Windows Media Connect 2 2009-03-04 23:41 . 2009-03-04 23:41 <DIR> d-------- c:\programme\OpenOffice.org 3 2009-03-04 23:38 . 2009-03-04 23:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\Roxio Shared 2009-03-04 23:38 . 2009-03-04 23:38 <DIR> d-------- c:\programme\Gemeinsame Dateien\Napster Shared 2009-03-04 23:37 . 2009-03-05 00:10 <DIR> d-------- c:\programme\Napster 2009-03-04 23:37 . 2009-03-04 23:37 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\InstallShield 2009-03-04 23:37 . 2009-03-05 00:10 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Napster 2009-03-04 10:49 . 2009-03-04 10:49 <DIR> d-------- c:\programme\Opera 2009-03-04 10:25 . 2006-10-26 19:56 32,592 --a------ c:\windows\system32\msonpmon.dll 2009-03-04 10:23 . 2009-03-04 10:23 <DIR> d-------- c:\programme\MSBuild 2009-03-04 10:23 . 2009-03-04 10:23 <DIR> d-------- c:\programme\Microsoft Works 2009-03-04 10:21 . 2009-03-04 10:21 <DIR> d-------- c:\programme\Microsoft.NET 2009-03-04 10:17 . 2009-03-04 10:17 <DIR> d-------- c:\programme\Microsoft Visual Studio 8 2009-03-04 10:16 . 2009-03-04 10:22 <DIR> d-------- c:\windows\SHELLNEW 2009-03-04 10:16 . 2009-03-04 10:26 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2009-03-04 10:15 . 2009-03-04 10:15 <DIR> dr-h----- C:\MSOCache 2009-03-04 10:01 . 2009-03-04 10:01 <DIR> d-------- c:\programme\DivX 2009-03-04 10:01 . 2008-11-06 17:37 129,784 --------- c:\windows\system32\pxafs.dll 2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\de-de 2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\de 2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\system32\bits 2009-03-04 03:02 . 2009-03-04 03:02 <DIR> d-------- c:\windows\l2schemas 2009-03-04 02:58 . 2009-03-04 03:02 <DIR> d-------- c:\windows\ServicePackFiles 2009-03-04 02:20 . 2009-03-04 02:20 <DIR> d---s---- c:\dokumente und einstellungen\Shakurmen\UserData 2009-03-04 02:06 . 2009-03-03 23:51 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Vorlagen 2009-03-04 02:06 . 2009-03-03 23:41 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Startmenü 2009-03-04 02:06 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Netzwerkumgebung 2009-03-04 02:06 . 2009-03-05 23:25 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Lokale Einstellungen 2009-03-04 02:06 . 2009-03-04 02:06 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Favoriten 2009-03-04 02:06 . 2009-03-04 02:06 <DIR> dr------- c:\dokumente und einstellungen\Shakur\Eigene Dateien 2009-03-04 02:06 . 2009-03-03 23:41 <DIR> d--h----- c:\dokumente und einstellungen\Shakur\Druckumgebung 2009-03-04 02:06 . 2009-03-04 02:07 <DIR> dr-h----- c:\dokumente und einstellungen\Shakur\Anwendungsdaten 2009-03-04 02:06 . 2009-03-04 02:06 <DIR> d-------- c:\dokumente und einstellungen\Shakur 2009-03-04 01:52 . 2009-03-04 01:52 0 --a------ c:\windows\nsreg.dat 2009-03-04 01:46 . 2004-08-03 22:29 1,897,408 --------- c:\windows\system32\drivers\nv4_mini.sys 2009-03-04 01:45 . 2001-08-23 13:00 381,425 -----c--- c:\windows\system32\dllcache\copycd.wmv 2009-03-04 01:45 . 2004-07-17 10:32 184,109 -----c--- c:\windows\system32\dllcache\compact.wmz 2009-03-04 01:45 . 2004-07-17 22:55 129,045 --------- c:\windows\system32\drivers\cxthsfs2.cty 2009-03-04 01:45 . 2001-08-23 13:00 9,585 -----c--- c:\windows\system32\dllcache\controls.css 2009-03-04 01:45 . 2001-08-23 13:00 8,298 -----c--- c:\windows\system32\dllcache\contents.htm 2009-03-04 01:45 . 2001-08-23 13:00 6,878 -----c--- c:\windows\system32\dllcache\controls.js 2009-03-04 01:45 . 2001-08-23 13:00 999 -----c--- c:\windows\system32\dllcache\bktrh.gif 2009-03-04 01:45 . 2001-08-23 13:00 773 -----c--- c:\windows\system32\dllcache\cnth.gif 2009-03-04 01:45 . 2001-08-23 13:00 773 -----c--- c:\windows\system32\dllcache\cnt.gif 2009-03-04 01:45 . 2001-08-23 13:00 772 -----c--- c:\windows\system32\dllcache\cntd.gif 2009-03-04 01:45 . 2001-08-23 13:00 760 -----c--- c:\windows\system32\dllcache\cloapph.gif 2009-03-04 01:45 . 2001-08-23 13:00 717 -----c--- c:\windows\system32\dllcache\cloapp.gif 2009-03-04 01:38 . 2009-03-04 01:38 <DIR> d-------- c:\programme\D-Link AirPlus 2009-03-04 01:32 . 2009-03-04 01:34 <DIR> d-------- C:\UpdatePack-Files 2009-03-04 01:28 . 2009-03-04 01:28 <DIR> d-------- c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\ATI 2009-03-04 01:07 . 2008-12-12 18:01 3,088,896 -----c--- c:\windows\system32\dllcache\mshtml.dll 2009-03-04 01:07 . 2008-09-15 16:24 1,846,528 -----c--- c:\windows\system32\dllcache\win32k.sys 2009-03-04 01:07 . 2008-10-16 02:00 1,499,136 -----c--- c:\windows\system32\dllcache\shdocvw.dll 2009-03-04 01:07 . 2008-10-16 02:00 671,744 -----c--- c:\windows\system32\dllcache\wininet.dll 2009-03-04 01:07 . 2008-10-16 02:00 620,544 -----c--- c:\windows\system32\dllcache\urlmon.dll 2009-03-04 01:07 . 2008-06-14 18:32 273,024 --------- c:\windows\system32\drivers\bthport.sys 2009-03-04 01:07 . 2008-06-14 18:32 273,024 -----c--- c:\windows\system32\dllcache\bthport.sys 2009-03-04 01:01 . 2008-08-14 14:19 2,191,488 -----c--- c:\windows\system32\dllcache\ntoskrnl.exe 2009-03-04 01:01 . 2008-08-14 14:19 2,147,840 -----c--- c:\windows\system32\dllcache\ntkrnlmp.exe 2009-03-04 01:01 . 2008-08-14 14:19 2,068,352 -----c--- c:\windows\system32\dllcache\ntkrnlpa.exe 2009-03-04 01:01 . 2008-08-14 14:19 2,026,496 -----c--- c:\windows\system32\dllcache\ntkrpamp.exe 2009-03-04 01:01 . 2008-04-11 20:04 691,712 -----c--- c:\windows\system32\dllcache\inetcomm.dll 2009-03-04 01:01 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys 2009-03-04 01:01 . 2008-12-11 11:57 333,952 -----c--- c:\windows\system32\dllcache\srv.sys 2009-03-04 01:01 . 2008-05-08 15:02 203,136 -----c--- c:\windows\system32\dllcache\rmcast.sys 2009-03-04 01:00 . 2008-10-15 17:35 337,408 -----c--- c:\windows\system32\dllcache\netapi32.dll . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-05 22:30 942,624 --sha-w c:\windows\system32\drivers\fidbox.dat 2009-03-05 22:28 262,176 --sha-w c:\windows\system32\drivers\fidbox2.dat 2009-03-05 22:26 8,416 --sha-w c:\windows\system32\drivers\fidbox.idx 2009-03-05 22:26 1,976 --sha-w c:\windows\system32\drivers\fidbox2.idx 2009-03-05 21:23 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2009-03-04 22:37 --------- d--h--w c:\programme\InstallShield Installation Information 2009-03-04 00:24 --------- d-----w c:\programme\ATI Technologies 2009-03-04 00:06 89,601 ----a-w c:\windows\system32\drivers\klick.dat 2009-03-04 00:06 33,808 ----a-w c:\windows\system32\drivers\klbg.sys 2009-03-04 00:06 101,287 ----a-w c:\windows\system32\drivers\klin.dat 2009-03-03 23:55 --------- d-----w c:\programme\Kaspersky Lab 2009-03-03 23:52 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files 2009-03-03 23:36 --------- d-----w c:\programme\VIA Technologies, Inc 2009-03-03 23:35 --------- d-----w c:\programme\NSC 2009-03-03 23:35 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield 2009-03-03 23:17 --------- d-----w c:\programme\Intel 2009-03-03 22:57 --------- d-----w c:\programme\microsoft frontpage 2009-03-03 22:54 --------- d-----w c:\programme\Online-Dienste 2009-03-03 22:53 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste 2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll 2008-12-11 00:33 200,704 ----a-w c:\windows\system32\dtu100.dll 2008-12-09 02:28 593,920 ----a-w c:\windows\system32\dpuGUI11.dll 2008-12-09 02:28 57,344 ----a-w c:\windows\system32\dpv11.dll 2008-12-09 02:28 344,064 ----a-w c:\windows\system32\dpus11.dll 2008-12-09 02:28 294,912 ----a-w c:\windows\system32\dpu11.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016] "NapsterShell"="c:\programme\Napster\napster.exe" [2008-12-19 323216] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-03-04 206088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ D-Link AirPlus.lnk - c:\programme\D-Link AirPlus\AirPlus.exe [2009-03-04 262144] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "enablefirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808] R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [2003-04-22 18392] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] . . ------- Zusätzlicher Suchlauf ------- . IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\Shakurmen\Anwendungsdaten\Mozilla\Firefox\Profiles\mba9go8a.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-05 23:28:41 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1392) c:\windows\system32\Ati2evxx.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\windows\system32\ati2evxx.exe c:\windows\system32\ati2evxx.exe c:\programme\ATI Technologies\ATI.ACE\CLI.exe c:\programme\ATI Technologies\ATI.ACE\CLI.exe c:\programme\ATI Technologies\ATI.ACE\CLI.exe . ************************************************************************** . Zeit der Fertigstellung: 2009-03-05 23:32:32 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-03-05 22:32:27 Vor Suchlauf: 10 Verzeichnis(se), 30.869.512.192 Bytes frei Nach Suchlauf: 10 Verzeichnis(se), 30,937,251,840 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 204 --- E O F --- 2009-03-05 09:17:48 |
Das sieht doch schon mal besser aus. Wichtig ist nun, dass alle anderen Festplatten sauber sind, bevor du nocheinmal neuinstallierst. Scanne dein System mit Malwarebytes Anti-Malware und mit SUPERAntiSpyware im abgesicherten Modus. Allerdings vorher beide Programme updaten. Schließe dann alle Festplatten an, die du bisher benutzt hast und beziehe sie in den Scans mit ein. Du kannst natürlich weitere Scans durchführen. Die Festplatte zu formatieren wäre die sicherste Methode, aber ich kann es sehr gut verstehen, dass du keine Lust hast, die ganzen Daten zu verlieren. Ich würde dir deshalb empfehlen, alle Daten, die NICHT ausführbar sind zu sichern und sie dann zu formatieren. Wenn du dann neuinstalliert hast und du alle Servicepacks und Updates drauf hast, lade dir einen Virenscanner, der auch Mediendateien scannen kann und schalte diese Option an. Zitat:
|
Hey danke für die antwort. Ja die ist ganz neu noch nichtmal ausgepackt.weill ich mir des dachte mit dem formatieren der E:\platte okay werd mal die beiden progs drüber laufen lassen. |
Ach, eine Sache noch, da ich nicht genau weiss, mit was du alles infiziert warst. Ich denke mal es wird alles okay sein, aber sicher ist sicher ; ) Lade dir mbr.exe (http://www2.gmer.net/mbr/mbr.exe) und speichere es auf C:\ Gehe jetzt auf Start-->Ausführen und gebe dort "cmd" ein. In dem Dosfenster "cd\" eingeben, dann solltest du auf "C:\" sein. Tippe nun mbr.exe ein. Wenn dort das hier steht, ist alles okay: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net*edit: Natürlich vorher die mbr.exe nach "E:\" kopieren ; ) |
Okay Danke,hab es ausgeführt und wie du es beschrieben hast ist alles okay. Allerdings wie komme ich im Dos Mode zur E:\ usb festplatte?? Danke hast mir echt weitergeholfen. |
Ups, hab ich vergessen zu erwähnen, aber google hätte sicher geholfen ; ) Gib einfach "E:" ein und schon bist du auf E:\ Wenn dann alles wieder funktioniert, kannst du dein System ein weiteres mal neuaufsetzen, ich hoffe vorerst das letzte mal :party: |
Danke,ebenfalls sauber :-) ja bevor ich unnötiges zeug bei google ahnemme frag ich doch lieber den profi ;) |
Ich hatte, glaube ich, auch das selbe Problem. Könntet ihr euch evtl. das Log von Combofix anschauen und mir sagen ob ich noch mehr machen sollte um sicher zu gehen das mein Rechner wieder sauber ist?! Vielen Dank und viele Grüße Combofix Logfile: Code: ComboFix 10-06-26.02 - Schalle 27.06.2010 11:37:38.1.2 - x86 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board