Trojaner-Board - unbekannter schädling

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - unbekannter schädling (https://www.trojaner-board.de/76462-unbekannter-schaedling.html)

unbekannter schädling

hallo erstmal
ich bin neu hier in dme forum und hoffe das ihr mir helfen könnt
zu meinem problem
ich benutze truecrypt und seit gestern bekommen ich die nachricht wenn ich versuche meine partitionen zu mounten:
Die maximale Anzahl der Kennwörter,die in einem einzelnen System gespeichert werden können,wurde überschritten

und dann passiert weiter nichts

bei hijackthis habe ich einen eintrag welcher zapachas trojaner oder so änhlich war gefixed doch das problem ist nicht behoben
aber ich hab mal geguckt un an diesem denke ich kann das alles nicht liegen
ich denke da iwrd es mnoch was geben

bei root repeal startet der pc nach kruzer zeit neu
malwarebytes anti-malware lässt sich nciht installieren

was kann ich tun ?
bitte um hilfe

edit: was mri auch aufgefallen ist ist wenn ich virtual pc starte (einen pc davon also ncith das programm direkt) dann stürtzt mein pc ab und stsrtet neu
ging sonst eigentlich tadellos

edit2: es wird auch kein datenträger in der datenträgerverwaltung angezeigt
nichtmal c auf wleche ich zugreifen kann per explorer (mit windows drauf)

Hast du eine Sicherung von deinem Truecrypt Schluessel, bzw eine Rescue-CD?

Erstelle bitte auch ein rsit und gmer Report und haenge sie an...

diese rescue disk habe ich
aber ich glaube nicht das es was damit zu tun hat
weil die is doch nur für die systempartitiuon und diese klappt doch bzwe startet ordnunsgemäß
nur ich kann die andern nicht starten
diese beiden dinge hänge ich gleich an mach sie eben

gmer:

Zitat:

GMER 1.0.15.15020 [qlfwflj7.exe] - GMER - Rootkit Detector and Remover
Rootkit scan 2009-08-16 16:07:38
Windows 5.1.2600 Service Pack 2

---- System - GMER 1.0.15 ----

INT 0x63 ? 8AB05BF8
INT 0x73 ? 8AB05BF8
INT 0xA4 ? 8A741BF8
INT 0xB4 ? 8AB05BF8

Code 8A57C0E8 ZwEnumerateKey
Code 8A57D670 ZwFlushInstructionCache
Code 8A46D6B6 IofCallDriver
Code 8A7660DE IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF1A0 5 Bytes JMP 8A46D6BB
.text ntkrnlpa.exe!IofCompleteRequest 804EF230 5 Bytes JMP 8A7660E3
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B5642 5 Bytes JMP 8A57D674
PAGE ntkrnlpa.exe!ZwEnumerateKey 80622DE0 5 Bytes JMP 8A57C0EC
? spew.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B9C0280C 5 Bytes JMP 8A7411D8
? System32\Drivers\ao3j9vyg.SYS Das System kann den angegebenen Pfad nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6AC040] spew.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6AC13C] spew.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6AC0BE] spew.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6AC7FC] spew.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6AC6D2] spew.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6BBD92] spew.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8AA911F8
Device \FileSystem\Fastfat \FatCdrom 89D1F1F8
Device \Driver\nvata \Device\0000009b 8A4574B0
Device \Driver\nvata \Device\0000009e 8A4574B0
Device \Driver\usbohci \Device\USBPDO-0 8A7401F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AB061F8
Device \Driver\dmio \Device\DmControl\DmConfig 8AB061F8
Device \Driver\dmio \Device\DmControl\DmPnP 8AB061F8
Device \Driver\dmio \Device\DmControl\DmInfo 8AB061F8
Device \Driver\usbehci \Device\USBPDO-1 8A7341F8
Device \Driver\sptd \Device\3972286620 spew.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AA941F8
Device \FileSystem\Rdbss \Device\FsWrap 8A57D408
Device \Driver\atapi \Device\Ide\IdePort0 8AA931F8
Device \Driver\atapi \Device\Ide\IdePort1 8AA931F8
Device \Driver\PCI_PNP2870 \Device\00000075 spew.sys
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A5C51F8
Device \Driver\NetBT \Device\NetbiosSmb 8A5C51F8
Device \FileSystem\Srv \Device\LanmanServer 89F4C188
Device \Driver\nvata \Device\00000096 8A4574B0
Device \Driver\nvata \Device\00000097 8A4574B0
Device \Driver\usbohci \Device\USBFDO-0 8A7401F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{83C9E820-0E63-4AFD-A82A-2B7585106444} 8A5C51F8
Device \Driver\usbehci \Device\USBFDO-1 8A7341F8
Device \Driver\nvata \Device\NvAta0 8A4574B0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89F0B1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A59A1C8
Device \Driver\nvata \Device\NvAta1 8A4574B0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89F0B1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A59A1C8
Device \Driver\nvata \Device\NvAta2 8A4574B0
Device \FileSystem\Npfs \Device\NamedPipe 8A4D3798
Device \Driver\Ftdisk \Device\FtControl 8AA941F8
Device \FileSystem\Msfs \Device\Mailslot 8AA004B8
Device \Driver\Vax347s \Device\Scsi\Vax347s1 8A527008
Device \Driver\ao3j9vyg \Device\Scsi\ao3j9vyg1Port6Path0Target1Lun0 8A4BF008
Device \Driver\Vax347s \Device\Scsi\Vax347s1Port5Path0Target0Lun0 8A527008
Device \Driver\ao3j9vyg \Device\Scsi\ao3j9vyg1 8A4BF008
Device \Driver\nvata \Device\0000009a 8A4574B0
Device \FileSystem\Fastfat \Fat 89D1F1F8

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8A59FAD0
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8A59FAD0
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8A59FAD0
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8A59FAD0
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8A59FAD0
Device \FileSystem\Cdfs \Cdfs 89F4C500
Device \FileSystem\Cdfs \Cdfs 8A6F63D0
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACcnplenawwo.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2024] 0x10000000
Library \\?\globalroot\systemroot\system32\UACcnplenawwo.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2752] 0x017A0000
Library \\?\globalroot\systemroot\system32\UACcnplenawwo.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [3160] 0x10000000

---- EOF - GMER 1.0.15 ----

bei dem anderen programm bekomme ich folgende meldung:
line -1
error: variable used without being declared.

und dann steht bei der leiste: writing header informationen
also das komtm sofort

Der Rechner startet noch. Warte bis wir fertig sind! ;)

wie meinen sie das ?

Das bedeutet, das du einen relativ hartnaeckigen TDSS Trojaner hast, der Rootkitfunktionalitaet besitzt und wie du schon bemerkt hast sehr stark den Ablauf von Programmen stoeren kann.

Wenn der rsit Report gleich nicht irgendetwas besonderes zeigt, moechte ich gerne Combofix nutzen. Und gegen was hartnaeckiges braucht man etwas noch hartnaeckigeres! Sprich, es koennte unter Umstaenden etwas schief gehen. Sollte es nicht, aber es waere moeglich. Darum sind Sicherungen immer extrem wichtig!

Nachtrag: Im Zweifelsfall erstelle und poste ein neues Hijackthis Log, und poste, welchen Eintrag du in Hijackthis geloescht hast...

wie gehen wir den jetzt weiter vor ?
hijackthis logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:45, on 16.08.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Nortek\Egos 8 Wireless and wired mouse\StartAutorun.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Nortek\Egos 8 Wireless and wired mouse\KMConfig.exe
C:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Nortek\Egos 8 Wireless and wired mouse\KMProcess.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Protector Suite QL\psqltray.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\WINDOWS\system32\ASWLSVC.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Nortek\Egos 8 Wireless and wired mouse\KMWDSrv.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QIP Infium 2\infium.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dustin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.********.info/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof0.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: (no name) - {8a194578-81ea-4850-9911-13ba2d71efbd} - (no file)
O2 - BHO: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof0.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Softonic Deutsch Toolbar - {8dbb6d8e-e4a6-4e3b-9753-af78b226441c} - C:\Programme\Softonic_Deutsch\tbSof0.dll
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Nortek\Egos 8 Wireless and wired mouse\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Programme\Protector Suite QL\launcher.exe" /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: REALTEK RTL8187 Wireless LAN Utility.lnk = C:\Programme\REALTEK RTL8187 Wireless LAN Driver and Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://icq.oberon-media.com/online//online2/luxor/mjolauncher.cab
O16 - DPF: {8FA2192F-B95D-40E3-898F-8D7ABB8E00D0} (SpinTop Games Launcher) - http://games.icq.com/online/online2/mahjong_escape_ancient_japan/SpinTopGamesLauncher.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://icq.oberon-media.com/online/online2/diner_dash/DinerDash.1.0.0.80.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{83C9E820-0E63-4AFD-A82A-2B7585106444}: NameServer = 62.220.18.8,89.246.64.8
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acunetix WVS Scheduler v5 (AcuWVSSchedulerv5) - Acunetix Ltd. - C:\Programme\Acunetix\Web Vulnerability Scanner 5\WVSScheduler.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - Z:\backups\hacksector\xampp\xampp\apache\bin\apache.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Programme\Nortek\Egos 8 Wireless and wired mouse\KMWDSrv.exe
O23 - Service: MySql - Unknown owner - C:/Programme/xampp/mysql/bin/mysqld-nt.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 12660 bytes

den eintrag den ich gefixed habe fing auf jedne fall auch mit 04 an
der erscheint aber auch nich
bei gmer wurde am ende auch was mit rootkit gesagt
kann man dadrüner nix machen ?

Wie gesagt, poste ein Hijackthis log und wenn du willst, werden wir Combofix nutzen..

hijack is da
und was könnte den verloren gehn mit kombofix ?

Rein theoretisch koennte es dir die Registrierung beschaedigen, so das der Rechner, bzw die Windowsinstallation nicht mehr bootet. Aber das habe ich so noch nie gesehen. CF erstellt vor dem Lauf auch noch Sicherheitskopien der Registrierung und einiger Systemdateien, sowie Backups der Dinge, die es entfernt.

Ich moechte dich nur auf evtl. Probleme hinweisen, so das du vorher selber entsprechende Sicherungen machen kannst...

Zu Combofix selber:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofix.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

rsit geht jetz doch
aber zu lang hierfür soll ichs per rar datei hochladen oder anhängen ?

Wenn du das rar anhaengen kannst, ansonsten lade es irgendwo hoch, wo man es herunterladen kann...

Wenn es nicht anders geht, kannst du es hier hochladen:
Bleeping Computer - Computer Help and Discussion

so dann einmal log und info zum mitnehmen ^^

Wie gesagt lasse Combofix laufen...

ok
wiord es länger als 20 min dauern ?
wenn ja würd ich des nämlich morgen machen

Es kann laenger dauern. "Normal" bei tdss ist ca 10 min +reboot...

ok ich werde das dann morgen gegen mittag posten oder heute abend
vielen dank für deine hilfe !!!!

habe ein problem
wenn ich das programm öffnen will fragt er mich ob ich das wirklich ausführen möchte da un dann drück ich fortsetzen un dann passiert ncihts
EDIT: / /
sorry ich hab keine ahnugn wieso aber hab es nochmal runtergeladen und direckt in test.exe umgenannt un gestartet und es funzt
sry

logs folgen

Lade bitte Avenger von hier, benenne es ebenfalls um, starte es, hake den Rootkitscan an und druecke execute. Der Rechner sollte neu starten und ein Report erstellt werden. Poste diesen Bitte.

Uups, Link vergessen:
http://swandog46.geekstogo.com/avenger2/download.php

wie geschrieben hat combofix beim sofortigen umbennen beim downlkoad geklappt
also hat auch einiges gelöscht
hat mir auch rootkitaktiviväten am anfang angezeigt
hier das logfile (anhang) :

ps: auf einmal is mein standard browser wieder internetexplorer 7
darf ich wieder auf firefox gehn ?

und es klappt alles wieder
hoffe im log is au alles ok

Darum schrieb ich

Zitat:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als test.exe auf den Desktop

Wenn du es nachtraeglich machst, merkt sich die Malware die Datei und es funktioniert nicht.

Installiere und aktualisiere nun bitte Mbam und schau, ob es etwas findet. Aktualisiere bitte auch Antivir.

Wie gross ist die Datei c:\windows\system32\scecli.dll? Groesser 100 KB?

die datei ist 182 KB (186.880 Bytes) groß

was is mbam ?

edit: ach da mailware
ja läuft

also malwarebytes anti malware hat bis jetz c\ dokumente u. einstellungen\*****\anwendungsdaten\kernel33.dll erkannt
habs in der quarantäne
bei anbieter steht in rot Trojan.Agent
beim starten is mein pc um einiges langsamer so das ich dahcte der startet nicht merh ^^
sogar schon vor der benutzeranmeldung

ob weitere schädlinge da sind mal schaun

was is denn da mit der scecli welche größer als 100kb ist ?

Ueber 100 KB ist gut, ich wollte nur sicher gehen, das sie nicht kleiner ist! :)

so hab da nochmal eine sache
hab system gescannt und passt auch alles jetz außer das nachdem ich mein entschlüsselungspw eingegeben hab
->dann kommt welches system starten
windows wiederherstellungskonsole
oder
windows xp prof.

schön und gut nimm ich windows xp
kommt windows wird gestartet doch der anmeldebildschirm zum pw eingeben erscheint nicht
erst nach vergeblichen 4-5 versuchen
ka wieso
habe 10 min gewartet !
dann als es ging nach den vergeblichen versuchen kam er nach ca 30 sekunden
habe viele sachen deinstalliert und aus dem autostart genommen
nun ist er nachdem anmelden schneller

aber ich muss ja erstmal bis dahin kommen
was kann ich dagegen tun ?

kann ja nich am servicepack liegen etc

Die Wiederherstellungskonsole hat dir Combofix installiert. Mache eine googlesuche und du findest heraus, wie du sie wieder deinstallieren kannst.

Natuerlich liegt das nicht an dem Service PAck, das liegt daran, das dir die Malware dein System(Registrierung) durcheinandergewuerfelt hat. Das installieren des sp3 hat den kleinen Nebeneffekt, das dabei einige Dinge wieder "auseinandergewuerfelt" werden. Sprich es werden einige Dinge wieder auf "Standard" gesetzt.

Du solltest Combofix noch via start/Ausfuehren und eingabe von combofix /u wieder deinstallieren....

den ornder gabs bei mir nicht
vll war das der grudn warum die console auch nith funktioniert hat
aber der eintrag in der boot.ini war da
habe ihn entfernt

würd es was bringen mit nem programm ein backup meiner programme zu machen und diese dann auf ein neues windows draufzuspielen ?
oder is das nich möglich
neues windows wäre mir jetz doch lieber aber dann nur wenn ich meine porgramme auf einen schlag behalten kann
gibt es da was ?

Nein, sowas ist mir nicht bekannt. Es gibt wohl eine Art "Umzugsprogramm", aber wie effektiv das ist und vor allem, kopiert es nur das zum Prgramm gehoerende, oder auch anderes. Wenn du es neu machst, willst du doch auch keine Altlasten mitschleppen!

das roblem ist das ich manche sachen nicht mehr installieren kann weil die daten mir fehlen

Da kann ich dir leider auch nur bedingt helfen. Schau/Google/Suche nach entsprechenden Installationsdateien der Programme. Wahlweise kannst du dir von deiner jetzigen installation ein Image mit Acronis true image oder einem aehnlichen Programm erstellen. So hast wenigstens diese Installation noch als Backup in der Hinterhand...