TR/TDss.adcr
 

Hallo Leute,

ich hab mir vor zwei Tagen den Trojaner TR/TDss.adcr eingefangen.
AntiVir hat den Trojaner erkannt und gemeldet:

In der Datei 'D:\RECYCLER\S-8-5-80-100011524-100005441-100032622-1396.com'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.adcr' [trojan] gefunden.

In der Datei 'C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVSCAN-20090517-190424-F20CF501\AVSCAN-20090517-190436-FC0E921A'
wurde ein Virus oder unerwünschtes Programm 'TR/TDss.adcr' [trojan] gefunden.

In der Datei 'C:\Users\PDvaS\AppData\Local\Temp\tmpB06C.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Alureon.BH.8' [trojan] gefunden.



Ich hab die Trojaner sofort in die Quarantäne gepackt und dachte das Problem sei damit gelöst, aber nun bekomm ich ständig neue Warnmeldungen von AntiVir.

Malwarebytes-Anti-Malware hat nichts gefunden.

HiJackThis Log



Installierte Programme


Ich hoffe ihr könnt mir helfen.
Schonmal Danke im vorraus, PDvaS

Hallo und:hallo:

Arbeite bitte Punkt 2a-d ab. Du findest ihn unter "Zuerst einmal" in meiner Signatur.

ABER: ACHTUNG DEIN KOMPLETTES INTERNET WIRD ÜBER DIE UKRAINE UMGELEITET
Generell ist das Neuaufsetzen zu empfehlen, da dieser Schritt einfach viel sicherer ist, führe trd bitte Punkt 2a-d durch.
Gib bitte keine wichtigen Passwörter wie von Onlinebanking etc mehr ein und ändere bitte alle deine Passwörter von einem SICHEREN
Rechner aus.
Das du umgeleitet wirst sieht man an den O17 Einträgen von HijackThis.
Beschreibung zu der IP Kopfhoch:kloppen:

.keNNy#

Danke für deine Antwort. Ich werde die Punkte durchführen.

Du sagtes, dass mein komplettes Internet umgeleitet wird. Bedeutet das, dass ich auf meinen anderen Rechner(virenfrei), der die gleiche Internetverbindung nutzt, auch kein online-banking dürchführen darf?

Ich bin mir nicht sicher. Ich würde es vlt vorsichtshalber von dem auch kein Banking machen.
Kannst auf dem "Sauberen" mal HijackThis laufen lassen und das log dann posten. Aber bitte dann dazu sagen das es von dem anderen ist.
Also Punkt 2a-d und HijackThis auf dem anderen Rechner.

.keNNy#

So da bin ich wieder:)

Ich hab jetzt die Schritte 2 a) - d) wie beschrieben an meinen infizierten Rechner durchgeführt.

zu b)


zu c)


zu d)


Bei meinen anderen Rechner bin ich noch nicht dazu gekommen, diese 4 schritte durchzuführen, um zu testen ob er eventuell auch gefährdet ist. Ich werde es aber demnächst hier rein posten.

So ich habe jetzt die Schritte auf meinen anderen Rechner durchgeführt, der eigentlich sauber sein sollte.


zu b)

zu c)

zu d)

also wie gesagt, hierbei handelt es sich jetzt um dem "Sauberen" Rechner.

PDvaS

Ok
Scanne den anderen Rechner mit SUPERAntispyware. Den sauberen kannste weglassen.
Du hattest einen Trojaner der deine DNS geändert hat und deswegen wurde die Umleitung über die Ukraine ermöglicht sag ich mal. Kennst du dieses Programm? Das sicherste wäre das Neuaufsetzen deines PC's.
Führe dieses Tool aus MBR.exe. Bei Vista Rechtsklick drauf und als Admin ausführen. Das Log bitte posten.
Neuaufsetzen bitte nach dieser Anleitung: Anleitung: Neuaufsetzen des Systems + Absicherung
Eine Bereinigung wäre sicherlich möglich aber es ist unsicherer.
Beachte bitte bei der Sicherung der Daten diesen Link. Dateiendungen
Die Dateien die dort aufgelistet sind bitte NICHT sichern.

.keNNy#

Ich hab jetzt mein Rechner mit SUPERAntiSpyware gescannt, so wie es hier auf dem Board erklärt wird.

Hier das Log dazu:


Ist das Neuaufsetzen wirklich notwendig oder kann ich das auch iwie vermeiden?

Mfg PDvaS

Naja sagen wir mal so. Es ist einfach viel sicherer und wird oftmals geraten bei DNS-Changern.
Du kannst natürlich einen Kompetenzler per PN mal bitten sich das ganze anzugucken. Vielleicht kann er dein System wieder "flicken":uglyhammer:
Ich empfehle dir mal john.doe zu kontaktieren.
Frag ihn einfach mal ganz lieb ob er sich das mal angucken kann und vergiss das BITTE nicht;)

mfg .keNNy#

hehe ok werd ich machen.

Also vielen dank, dass du deine zeit geopfert hast und mir bis hier hin geholfen hast.

Top:daumenhoc

Mfg PDvaS

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Hallo john.doe

erstmal danke, dass du dich gemeldet hast:)

Hier mein Combofix log:


Mfg PDvaS

Seit wann hast du Probleme (möglichst genau)?

Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas

Die Probleme habe ich eigentlich genau seit 8 Tagen

1.) Deinstalliere (falls möglich):

• Fixwareout
• Hotspot Shield 1.15
• McAfee SecurityCenter (nie mehr als ein Antivirenprogramm einsetzen)
• Spybot
• SuperAntiSpyware

2.) How to uninstall or reinstall supported McAfee consumer products using the McAfee Consumer Products Removal tool (MCPR.exe)

3.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Ist es mir eigentlich gestattet, einige der Programme, die ich grade deinstalliert habe, wieder zu installieren? Weil ich SuperAntiSpyware für ziemlich nützlich empfunden habe.

Mfg PDvaS

Kannst du natürlich machen, aber erst wenn wir fertig sind. Bei SuperAntiSpyware empfehle ich dir, den Wächter zu deaktivieren, der verursacht Probleme, ansonsten ist nichts gegen das Programm einzuwenden, ausser das es sämtliche Logs versaut.

1.) Start => Ausführen => combofix /u => OK

2.) GMER - Rootkit Detection

http://pic.leech.it/i/ab0bc/635985fgmer60.jpg

• Lade Trallala von file-upload.net
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Trallala.exe
• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen


ciao, andreas

Kaspersky log:

Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de


Mfg PDvaS

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

ciao, andreas

Den Rechner geht es eigentlich ziemlich gut. Auffäligkeiten gibt es auch nich mehr. War mit nur nich sicher ob das Problem auch wirklich komplett behoben ist und der Trojaner endgültig von meinem Rechner ist.

Mfg PDvaS

Dann bist du entlassen. :)

ciao, andreas

:lach::lach::lach:na super das freut mich.

Dann nochmal ein großes Dankeschön, an alle dir mir geholfen haben.

:dankeschoen: