PC blockt die Ausführung von Anti-Malware-Programmen und Virenscannern Ich bin am Verzweifeln! Zuerst konnte ich mein Avira Antivir Premium nicht updaten. Sobald ich auf Update ging kam die Meldung, es könne keine Verbindung mit dem Internet hergestellt werden, obwohl ich ansonsten problemlos ins I-Net kam. Ich musste Avira runterschmeißen und neu downloaden, damit es wieder funktioniert. Dann fiel mir auf, dass ich über google keine Links anklicken konnte. Wenn ich das tat, landete ich auf irgendwelchen Seiten aber nicht da, wo ich hinwollte. Deshalb wollte ich Super Anti-Spyware downloaden. Ich kam anfangs auf die Seiten (zdnet, etc.), ging ich aber auf download kam fehlermeldung: Keine Verbindung mit dem Internet. Über Computerbild konnte ich das dann endlich downloaden. Klicke ich aber auf den Icon auf meinem Desktop, passiert gar nichts. Ebenso geht es mir mit dem Programm Malwarebytes und HijackThis, weshalb ich kein Logfile posten kann. :eek: Ich habe schon versucht, diese Programme über den Opera zu downloaden, allerdings mit dem gleichen Ergebnis. Ich hoffe daher auf eure Hilfe. Mein Betriebssystem Windows XP Browser Internet Explorer Avira hat Folgendes gefunden: Beginne mit der Desinfektion: C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\DVDTool.exe [FUND] Ist das Trojanische Pferd TR/PCK.Tdss.W.4 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a987b85.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpBF.tmp [FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac47b9c.qua' verschoben! C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\tmpC0.tmp [FUND] Ist das Trojanische Pferd TR/Alureon.BP.4 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49aeccf5.qua' verschoben! C:\Programme\DVDTool\Uninstall.exe [FUND] Ist das Trojanische Pferd TR/TDss.aips [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4abd7b9e.qua' verschoben! C:\WINDOWS\temp\tempo-50787640.tmp [FUND] Ist das Trojanische Pferd TR/Spy.Router.A [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ac17b95.qua' verschoben! C:\WINDOWS\temp\tempo-50787921.tmp [FUND] Ist das Trojanische Pferd TR/Spy.122368.2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b457e46.qua' verschoben! Ende des Suchlaufs: Mittwoch, 8. Juli 2009 12:55 Benötigte Zeit: 1:03:28 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 7421 Verzeichnisse wurden überprüft 259429 Dateien wurden geprüft 6 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 259422 Dateien ohne Befall 1305 Archive wurden durchsucht 1 Warnungen 7 Hinweise 8165 Objekte wurden beim Rootkitscan durchsucht 5 Versteckte Objekte wurden gefunden |
HAllo tweety665 >> Gebe unter Start/Ausfuehren devmgmt.msc ein und druecke enter, dann ueber "Ansicht", "Ausgeblendete Geraete anzeigen" waehlen, "nicht-PNP-Treiber" anzeigen lassen und dort den Treiber "TDSSserv.sys" oder aehnlich deaktivieren und neu starten. Nichts anderes!! >> Versuche nun nochmlas Malwarebytes. Evtl musst du es auf den Desktop speichern, dann umbenennen in z.B. Test.exe und ausführen. Gruss Swiss |
Diesen TDSSserv gibt es bei mir nicht. Könnte es NDIS Systemtreiber oder ssmdrv sein? Maleware funktioniert trotz Umbenennung nicht. |
Hallo und :hallo: Er kann viele Namen haben. ov... gaopdx Uacd Skynet... tds... Der Name wird dir angezeigt, wenn du in Avira die Rootkitsuche aktivierst. 1.) Systemdetails mit RSIT prüfen
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Erst einmal lieben Dank für den Willkommens-Smiley und deine Mühe. Random hat funktioniert. Log poste ich hier. Combofix funktioniert zwar nach Umbenennung, es kommt aber der Hinweis: "Ablehnungshinweis Die folgenden Seiten sind in keiner weise mit Combofix verbunden: combofix.org und combofix.download solltest du von dieser seite irgendwas gekauft haben schlage ich vor........" etc. Den Ccleaner habe ich durchlaufen lassen. Anhang 3519 Anhang 3520 |
Es fehlt noch die info.txt von RSIT. Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
ciao, andreas |
Erst einmal tausend Dank für deine Anleitungen, die sogar ich verstehe :dankeschoen: Anhang 3522 Anhang 3523 |
Gleich ein neues Skript für den Avenger (aka Hopsassa): Code: Drivers to delete: Lasse gleich im Anschluss, wenn der Rechner neugestartet ist, ComboFix laufen. Der sollte dann wieder funktionieren. ciao, andreas |
Anhang 3525 Combofix hab ich auch gestartet. Da meldet sich aber sofort der Antivir: C:\32788R22FWJFW\n.pif Die Datei enthält ein ausführbares Programm. Dies wird jedoch durch eine harmlose Dateierweiterung verschleiert. HIDDENEXT/Crypted |
Das liegt daran, dass du die Anleitung nicht sorgfältig gelesen hast. Zitat:
Hat Avira irgendetwas gelöscht? Avenger hat plötzlich nichts mehr gefunden. ciao, andreas |
Ja stimmt, ich hatte Antivir vergessen :headbang: Antivir hat nichts gelöscht. Nach dieser Meldung, die ich gepostet hatte, bin ich auf Zugriff verweigern gegangen, das wars. Das Super Antispyware funktioniert wieder, auch über Google kann ich wieder Seiten aufrufen. Ich danke dir Tausend Mal Du hast mich und mein Lieblingsspielzeug gerettet. Vielen Dank für deine Mühe und deine Zeit:knuddel: Anhang 3527 |
Noch sind wir nicht fertig. :) Eigentlich noch lange nicht. :D Du hattest eine Umleitung in die Ukraine, ändere alle deine Kennwörter von einem sauberen Rechner aus. Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Dass das noch nicht alles war, hatte ich befürchtet, aber ich freu mich schon riesig darüber zu sehen, dass es möglich ist, diese Biester runter zu kriegen. Eine Umleitung in die Ukraine? Himmel, was mach ich da?:eek: Ich find es absolut erstaunlich, dass du mit diesen Logs was anfangen kannst.:daumenhoc Anhang 3529 |
Das Script wurde nicht abgearbeitet, bitte arbeite obige Anleitung nochmal genau ab. Erstelle das Script und ziehe es auf das Symbol von Combofix, so wie in der Grafik ersichtlich. ciao, andreas |
Aber das hatte ich doch getan. Hab jetzt alles von Anfang an noch einmal gemacht. |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Entschuldige bitte, ich hatte alles noch einmal neu gemacht aber nicht gemerkt, dass die Anhänge nicht im Posting waren. Anhang 3533 Anhang 3531 Anhang 3532 |
Lade das komplette Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link. ciao, andreas |
http://www.materialordner.de/ZTvsKY3...IxDSggpu6.html Dankeschön für den Tip. |
Das sieht übelst aus. Lass mich raten, du hast seit dem 4.4. Probleme. Ich bin mir noch nicht sicher, aber das sieht verdächtig danach aus, dass sowohl alle deine Tastatureingaben als auch alle deine Monitoranzeigen aufgezeichnet wurden. Das ganze hat am 8.7. um 8:12 Uhr aufgehört. Hast du da einen Virenscanner o.ä. laufen gelassen? Also wenn wir weitermachen sollen, dann stelle dich auf eine Menge Arbeit ein. Bis wir die Kiste wieder sauber haben, werden mindestens 3 Tage vergehen. Jetzt liegt es bei dir, ob du weitermachen möchtest oder lieber die schnelle und sichere Methode wählst => http://www.trojaner-board.de/51262-a...sicherung.html ciao, andreas |
Himmel, das ist ja heftig. Also das genaue Datum könnte ich so nicht sagen. Das mit dem 8. könnte sein, dass ich da Antivir durchgejagt habe. Ich würde ungern Windows neu raufpacken, da ich danach noch lange Zeit immer Schwierigkeiten habe, bis wirklich alles funktioniert, wg. Treibern und so. Außerdem hab ich bisher Windows immer nur neu aufgespielt und noch nicht formatiert. Denn wenn ich das machen wollte wurde mir immer gesagt, ich könne nicht das Laufwerk formatieren, auf dem ich arbeite. Wenn du mit mir drei Tage verbringen würdest, würde ich mich riesig freuen. Aber ich versteh auch, wenn dir das zu heftig ist. Schließlich verbringen wir ja schon die zweite Nacht zusammen :lach: |
1.) Deinstalliere:
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
GetPlus(R)for Adobe konnte ich nicht deinstallieren. In der Softwareliste ist es zwar zu finden, allerdings ohne Angabe einer Dateigröße. Wenn ich auf Entfernen gehe, passiert gar nichts. Über die Suche war es nicht zu finden. http://www.materialordner.de/MAPsZH9DCwzDUYJmwjow76lirjdTVaSx.html |
Ich muss mich verbessern. Hab dieses getPlus jetzt mit dem Ccleaner entfernt. |
1.) Deinstalliere ComboFix: Start => Ausführen => combofix /u => OK http://img247.imageshack.us/img247/7...ombofixvs6.jpg 2.) Erstelle ein Filelisting.
3.) Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Online Scanner => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen 4.) Überprüfe den Rechner mit PrevXCSI. Poste ein Screenshot falls etwas gefunden werden sollte. ciao, andreas |
Vielen lieben Dank. listing: http://www.materialordner.de/Vlk1aXY...PLX4VFi1q.html kaspersky: http://www.materialordner.de/xvQQE1T...hEo09Jr17.html http://img33.imageshack.us/i/prevx.png/ Nach dieser Anzeige bin ich auf ja gegangen und hab den PC dann neu starten lassen. Der darauf folgende Scan zeigte: System clean |
Gut. Weiter mit 1.) http://www.trojaner-board.de/51187-a...i-malware.html 2.) http://www.trojaner-board.de/51871-a...tispyware.html 3.) http://www.trojaner-board.de/59299-a...eb-cureit.html 4.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installationciao, andreas |
Puh, geschafft. Malware-Log: Malwarebytes' Anti-Malware 1.38 Datenbank Version: 2404 Windows 5.1.2600 Service Pack 3 11.07.2009 10:23:11 mbam-log-2009-07-11 (10-23-11).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 144420 Laufzeit: 3 hour(s), 30 minute(s), 8 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\DVDTool (Trojan.DNSChanger) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\dokumente und einstellungen\administrator\Desktop\Trojaner\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully. c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\Google\Chrome\user data\Default\Cache\f_00015d (Rogue.Installer) -> Quarantined and deleted successfully. SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 07/11/2009 at 01:11 AM Application Version : 4.26.1006 Core Rules Database Version : 3985 Trace Rules Database Version: 1925 Scan type : Complete Scan Total Scan Time : 02:41:45 Memory items scanned : 459 Memory threats detected : 0 Registry items scanned : 4853 Registry threats detected : 2 File items scanned : 19603 File threats detected : 35 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atdmt[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@apmebf[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@tradedoubler[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.zanox[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@zbox.zanox[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@kaspersky.122.2o7[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@traffictrack[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mediaplex[1].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.zanox-affiliate[2].txt C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@xml.trafficengine[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@a2.adserver01[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.ad-srv[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.yieldmanager[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad.zanox[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@ad2.yieldmanager[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@ads.heias[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@adtech[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@eas.apm.emediate[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@track.webtrekk[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@tracking.quisma[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@traffictrack[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@tto2.traffictrack[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@webmasterplan[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.active-tracking[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.adservex[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.etracker[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@www.zanox-affiliate[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@xiti[1].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox-affiliate[2].txt C:\WINDOWS\system32\config\systemprofile\Cookies\system@zanox[1].txt Trojan.Unknown Origin HKU\.DEFAULT\Software\ColdWare HKU\S-1-5-18\Software\ColdWare Rogue.AntiVirusDoktor C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_00015D Dr. Web DVDTool.exe;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;BackDoor.Tdss.119;Gelöscht.; tempo-50787640.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.PWS.IpDiscover.3;Gelöscht.; tempo-50787921.tmp;C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner;Trojan.Siggen.2478;Gelöscht.; A0062512.exe;C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP282;BackDoor.Tdss.119;Gelöscht.; Active Scan ;***************************************************************************************************************************************************** ****************************** ANALYSIS: 2009-07-12 07:51:04 PROTECTIONS: 1 MALWARE: 7 SUSPECTS: 1 ;***************************************************************************************************************************************************** ****************************** PROTECTIONS Description Version Active Updated ;===================================================================================================================================================== ============================== AntiVir Desktop 9.0.1.30 Yes Yes ;===================================================================================================================================================== ============================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;===================================================================================================================================================== ============================== 00034463 adware/wupd Adware No 0 Yes No c:\windows\downloaded program files\activex.inf 00110851 adware/qoologic Adware No 0 Yes No c:\windows\downloaded program files\installer.exe 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[2].txt 00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@com[1].txt 00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt 00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[1].txt 02039662 Adware/SystemGuard2009 Adware No 0 Yes No C:\Dokumente und Einstellungen\Administrator\Desktop\Trojaner\tmpBF.tmp ;===================================================================================================================================================== ============================== SUSPECTS Sent Location . ;===================================================================================================================================================== ============================== No C:\System Volume Information\_restore{7983A6B3-9F06-4629-A267-731918852CA6}\RP281\A0062467.exe . ;===================================================================================================================================================== ============================== VULNERABILITIES Id Severity Description . ;===================================================================================================================================================== ============================== ;===================================================================================================================================================== ============================== |
Von wo und warum hast du dieses DVDTool geladen? ciao, andreas |
Ich hab das gar nicht runtergeladen. Ich weiß selbst nicht wo das herkommt. Hab das irgendwann bei Start-Programme gesehen. Wenn man das aufrief passierte gar nichts. |
Da irrst du, es passierte jede Menge. Der Rechner gehörte danach nicht mehr dir sondern zu einem Botnetz. :) Ein nettes Video von der völlig veralteten BSI-Site (das vor Falschaussagen nur so strotzt. Nein, mit einem Antivirenprogramm schützt du dich nicht, nein, wenn du nur Mails von Bekannten annimmst, bist du genauso gefährdet, als wenn du auf alles klickst.) Andererseits ist es nett animiert. :D Bot-Netze ciao, andreas |
Was ist BSI? Ehrlich, ein Video war nicht zu sehen. Es öffnete sich nicht mal ein Player oder so. Mein Freund hat vor langer Zeit einen TVU Player und Soap Cast runtergeladen. Ich hatte vermutet, dass das vielleicht dazu gehört. Aber der PC ist noch immer infiziert, oder? Ah sorry, bin auf den letzten Link gegangen, nu weiß ich, was bsi ist ;) Na toll, ich befolge alle 4 Regeln und mein PC ist trotzdem komplett verseucht. Ich hab sicherheitshalber meinen Online-Banking-Account sperren lassen. |
Für die zwei oder drei Leute, die hier noch mitlesen sollten: Bundesamt für Sicherheit in der Informationstechnik Die Site ist nicht schlecht, abgesehen davon, dass sie grauenhaft veraltet ist und nicht mehr gepflegt wird. ciao, andreas Edit: Ich sagte doch, die Regeln kannst du knicken, die stimmen nicht mal ansatzweise. Klicke auf die letzten beiden Links in meiner Signatur. Die Regeln sind uralt, stimmen aber immer noch. |
Muss ich nun noch irgend etwas machen oder ist der PC jetzt sauber? |
Ich hab ehrlich überlegt, wie ich mich bei dir bedanken kann. Aber das ist alles so banal. Ich bewundere Leute wie dich, die Unmengen an Zeit und Arbeit investieren, um geduldig die zerschossenen PCs von fremden Leuten wie mir wieder zum Laufen zu bringen. Ich danke dir Tausend Mal, dass du mich und meinen PC gerettet hast. :party::knuddel: http://img29.imageshack.us/img29/4900/mercip.th.gif |
Alle Zeitangaben in WEZ +1. Es ist jetzt 07:15 Uhr. |
Copyright ©2000-2024, Trojaner-Board