Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Alle 5 Minuten Trojaner Meldung über Avira AntiVir (https://www.trojaner-board.de/80359-alle-5-minuten-trojaner-meldung-avira-antivir.html)

sjw 14.12.2009 10:23

Alle 5 Minuten Trojaner Meldung über Avira AntiVir
 
Guten Morgen,

ich hab ein großes Problem. Unzwar bekomme ich alle 5 Minuten von Avira die Meldung, dass ein Trojaner gefunden wurde im Temp Ordner. Noch vor einigen Tagen bekam ich nur ab und zu die Meldung, dass ein Trojaner gefunden wurde im system32 in der datei "tdlcmd.dll"

Ich habe schon den CCleaner verwendet und heute morgen Malwarebytes durchlaufen lassen, das Problem besteht aber weiterhin. Ich werde mein Logfile mal hier posten und hoffe das mir jemand helfen kann.

Vielen Dank schonmal

P.S.: Vielleicht ist es auch noch wichtig zu erwähnen, dass die Trojanermeldung über Avira immer in doppelter Ausführung auftaucht.

Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:51, on 14.12.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\igfxsrvc.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\ApMsgFwd.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - (no file)
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [HWSetup] C:\Program Files\TOSHIBA\Utilities\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [TOSCDSPD] TOSCDSPD.EXE
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: STI Simulator - Unknown owner - C:\Windows\System32\PAStiSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9016 bytes

cosinus 14.12.2009 14:20

Hallo und :hallo:

Zitat:

Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Wieso hat Dein Vista noch kein einziges Update gesehen? :balla:

Poste bitte das Logfile vom Virenscanner. Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

sjw 14.12.2009 17:05

Erstmal Danke für die schnelle Antwort :)

Ich hoffe, dass ich alles richtig gemacht habe. Den CCleaner hab ich gestern schon angehabt, sowie Malwarebytes, der Report dazu ist auch im archiv.

Wieso noch nie ein Vista Update gelaufen ist, dazu kann ich leider nichts sagen *schäm* hab den Laptop 2007 zum Geburtstag bekommen und er lief, bis jetzt, immer einwandfrei.

Hier die Datei:

Logfiles

cosinus 14.12.2009 22:00

1.) Das Logfile von AntiVir hat Null Aussagekraft:

Code:

Ende des Suchlaufs: Montag, 14. Dezember 2009  15:24
Benötigte Zeit: 00:11 Minute(n)
Der Suchlauf wurde abgebrochen!
0 Verzeichnisse wurden überprüft



2.) Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\18859536
HKLM\software\microsoft\shared tools\msconfig\startupreg\avp
HKLM\software\microsoft\shared tools\msconfig\startupreg\axis love poll lite
HKLM\software\microsoft\shared tools\msconfig\startupreg\balm deaf
HKLM\software\microsoft\shared tools\msconfig\startupreg\smgr

folders to delete:
C:\ProgramData\TIME ACTIVE KNOB.2ul6a
C:\PROGRA~2\18859536
C:\ProgramData\Soaphtmhtm.nvb0xh

files to delete:
C:\ProgramData\TIME ACTIVE KNOB.2ul6a
C:\ProgramData\Soaphtmhtm.nvb0xh
C:\Windows\avp.exe
C:\Windows\mgrs.exe

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

sjw 15.12.2009 16:01

So habs gleich ausprobiert, hier das Logfile dazu:

PHP-Code:

Logfile of The Avenger Version 2.0, (cby Swandog46
http
://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  folder "C:\ProgramData\TIME ACTIVE KNOB.2ul6a" not found!
Deletion of folder "C:\ProgramData\TIME ACTIVE KNOB.2ul6a" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  folder "C:\PROGRA~2\18859536" not found!
Deletion of folder "C:\PROGRA~2\18859536" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  folder "C:\ProgramData\Soaphtmhtm.nvb0xh" not found!
Deletion of folder "C:\ProgramData\Soaphtmhtm.nvb0xh" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  file "C:\ProgramData\TIME ACTIVE KNOB.2ul6a" not found!
Deletion of file "C:\ProgramData\TIME ACTIVE KNOB.2ul6a" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  file "C:\ProgramData\Soaphtmhtm.nvb0xh" not found!
Deletion of file "C:\ProgramData\Soaphtmhtm.nvb0xh" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  file "C:\Windows\avp.exe" not found!
Deletion of file "C:\Windows\avp.exe" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist


Error
:  file "C:\Windows\mgrs.exe" not found!
Deletion of file "C:\Windows\mgrs.exe" failed!
Status0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> 
the object does not exist

Registry key 
"HKLM\software\microsoft\shared tools\msconfig\startupreg\18859536" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\avp" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\axis love poll lite" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\balm deaf" deleted successfully.
Registry key "HKLM\software\microsoft\shared tools\msconfig\startupreg\smgr" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate


cosinus 15.12.2009 16:28

Bitte nun GMER ausführen

sjw 16.12.2009 12:54

werd ich erst heute abend schaffen, aber danke schonmal soweit.

es kommt jetzte auch schon keine meldung mehr alle 5 minuten über trojaner-pfunde im temp ordner :)

sjw 16.12.2009 18:20

ich hab den scan mit gmer versucht, aber nach ca 30 minuten erscheint einfach wieder der anmeldebildschirm von vista.

hab auch extra drauf geachtet, dass der laptop nicht in den stromsparmodus gehen kann und auch nicht auf standby.

cosinus 16.12.2009 18:22

Dann probier das:Rootkitscan mit RootRepeal
  • Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
  • Entpacke die Datei auf Deinen Desktop.
  • Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
  • Klicke auf den Reiter Report und dann auf den Button Scan.
  • Mache einen Haken bei den folgenden Elementen und klicke Ok.
    .
    Drivers
    Files
    Processes
    SSDT
    Stealth Objects
    Hidden Services

    .
  • Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
  • Wähle C:\ und klicke wieder Ok.
  • Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
  • Wenn der Suchlauf beendet ist, klicke auf Save Report.
  • Speichere das Logfile als RootRepeal.txt auf dem Desktop.
  • Kopiere den Inhalt hier in den Thread.

sjw 16.12.2009 18:49

hier kommt schon beim starten folgender Error:

"FOPS - DeviceIOControl Error! Error Code = 0xc0000024"

wenn ich auf "ok" klicke und den scan trotzdem ausführen will kommt dann dieser Error "couldn't read system registry".

cosinus 16.12.2009 19:00

Hmmm...hartnäckig :balla:
Probier das Tool bitte => Avira AntiRootkit Tool

sjw 16.12.2009 19:34

leider wieder nichts :(

"Diese Anwendung konnte nicht gestartet werden, da die Side-by-Side-Konfiguration ungültig ist"

cosinus 16.12.2009 19:48

Du hast aber schon ein 32-Bit-Vista oder? :balla:

Es gibt noch => Sophos Anti-Rootkit - Kostenlose Erkennung und Entfernung von Rootkits

sjw 16.12.2009 19:53

ja ist 32-Bit

muss ich für Sophos Anti-Rootkit wirklich die ganzen Daten für den download angeben?

oh man, wenn hier schon ein Erfahrener verzweifelt wir mir schon ganz anders :(

cosinus 16.12.2009 19:56

Du musst nicht alle Daten angeben, nur die mit (*) gekennzeichneten. Und wer sagt, dass alle Daten zu 100% stimmen müssen? :D

cosinus 16.12.2009 20:28

Dank Angel21 Hinweise:

Alternativer Link für das Sophos Anti-Rootkit => |MG| Sophos Anti-Rootkit 1.5 Download

Wegen GMER: GMER aufm Desktop speichern, Vista im abgesicherten Modus starten und dann GMER ausführen, könnte klappen! :daumenhoc

sjw 16.12.2009 20:36

also sophos anti rootkit hat alles durch gescannt und sagt mir "no hidden items found on scan"

aber ich könnte das mit gmer nochmal versuchen wie beschrieben?!

cosinus 16.12.2009 21:11

Jo, mach mal mit GMER im abgesicherten Modus.

sjw 16.12.2009 21:26

ok hat geklappt, hoff ich zumindest, das ging plötzlich so schnell...

GemLog

cosinus 17.12.2009 10:40

Ich hoffe so seh ich mehr:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

sjw 17.12.2009 12:56

da hab ich dann direkt meine mittagspause genutzt ;)

OTL-Scan

cosinus 17.12.2009 13:03

Deine Mittagspause? :confused:
Ist das ein Bürorechner?

sjw 17.12.2009 13:16

nein, keine panick ;)

bin mittags immer zu hause

cosinus 17.12.2009 16:30

Kannst Du mal bitte die Windows-Suche anschmeißen und nach iastor suchen? Poste bitte wenn die gefunden werden alle PFad komplett!

sjw 17.12.2009 17:34

okay es wurden 6 Dateien gefunden:

C:\Toshiba\Drivers\Robson\Winall\Driver64\iaStor.cat
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.cat
C:\Toshiba\Drivers\Robson\Winall\Driver64\IaStor.sys
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys
C:\Toshiba\Drivers\Robson\Winall\Driver64\iaStor.inf
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.inf

beim 3. Pfad ist das Große "I" kein Versehen, das steht da wirklich so drin.

cosinus 17.12.2009 17:45

Sehr gut, ich glaub das kriegen wir noch hin :)
Bitte nochmal den Avenger wie o.g. anwenden aber folgendes Script nutzen:

Zitat:

files to move:
C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys | C:\Windows\system32\DRIVERS\iaStor.sys

sjw 17.12.2009 18:17

gesagt, getan.

Übrigens kam jetzt nach den neustart die meldung von antivir das in C:\Avenger\iaStor.sys das Trojanische Pferd TR/Patched.Gen gefunden wurde. ich hab die meldung noch auf dem schirm, soll ich es in Quarantäne verschieben, oder direkt löschen?

PHP-Code:

Logfile of The Avenger Version 2.0, (cby Swandog46
http
://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "C:\Toshiba\Drivers\Robson\Winall\Driver\iaStor.sys|C:\Windows\system32\DRIVERS\iaStor.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate


cosinus 17.12.2009 18:25

Zitat:

Übrigens kam jetzt nach den neustart die meldung von antivir das in C:\Avenger\iaStor.sys das Trojanische Pferd TR/Patched.Gen gefunden wurde. ich hab die meldung noch auf dem schirm, soll ich es in Quarantäne verschieben, oder direkt löschen?
Bitte erst bei Virustotal.com auswerten lassen! Danach bitte einen neuen Durchlauf mit GMER machen

sjw 17.12.2009 18:37

ich kann die datei nicht hochladen :(

avira piepst mir dann immer dazwischen und es kommt eine meldung von windows, dass ich nicht berechtigt bin diese datei zu öffnen.

cosinus 17.12.2009 18:54

Sag, Avira soll die Datei ignorieren! Die ist nicht aktiv und kann Dir so ohne Weiteres keinen Schaden anrichten!

sjw 17.12.2009 19:45

hier die Auswertung von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.43 2009.12.17 Rootkit.Win32.TDSS!IK
AhnLab-V3 5.0.0.2 2009.12.17 Win-Trojan/Patched.X
AntiVir 7.9.1.114 2009.12.17 TR/Patched.Gen
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.17 Win32:Patched-LF
AVG 8.5.0.427 2009.12.17 Rootkit-Pakes.U
BitDefender 7.2 2009.12.17 Rootkit.TDSS.AH
CAT-QuickHeal 10.00 2009.12.17 -
ClamAV 0.94.1 2009.12.17 -
Comodo 3275 2009.12.17 -
DrWeb 5.0.0.12182 2009.12.17 BackDoor.Tdss.565
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 -
F-Prot 4.5.1.85 2009.12.16 -
F-Secure 9.0.15370.0 2009.12.17 Trojan:W32/Alureon.gen!E
Fortinet 4.0.14.0 2009.12.17 -
GData 19 2009.12.17 Rootkit.TDSS.AH
Ikarus T3.1.1.79.0 2009.12.17 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2009.12.17 Rootkit.TDSS.cvc
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.17 Rootkit.Win32.TDSS.u
McAfee 5835 2009.12.17 -
McAfee+Artemis 5835 2009.12.17 -
McAfee-GW-Edition 6.8.5 2009.12.17 Heuristic.BehavesLike.Win32.Rootkit.I
Microsoft 1.5302 2009.12.17 Virus:Win32/Alureon.A
NOD32 4697 2009.12.17 Win32/Olmarik.OF
Norman 6.04.03 2009.12.17 W32/TDSS.drv.gen4.A
nProtect 2009.1.8.0 2009.12.17 Trojan/W32.Rootkit.277784
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.17 Backdoor.Tidserv
Prevx 3.0 2009.12.17 Medium Risk Malware
Rising 22.26.03.04 2009.12.17 -
Sophos 4.49.0 2009.12.17 Mal/TDSSPack-V
Sunbelt 3.2.1858.2 2009.12.17 Trojan.Win32.Olmarik.of!damaged (V)
Symantec 1.4.4.12 2009.12.17 Backdoor.Tidserv.H!inf
TheHacker 6.5.0.2.095 2009.12.17 -
TrendMicro 9.100.0.1001 2009.12.17 -
VBA32 3.12.12.0 2009.12.16 Rootkit.Win32.TDSL
ViRobot 2009.12.17.2094 2009.12.17 -
VirusBuster 5.0.21.0 2009.12.17

cosinus 17.12.2009 20:08

Ok, der Schädling wird doch schon recht gut erkannt. Klappt nun der Durchlauf mit GMER auch im normalen Modus?

sjw 17.12.2009 20:50

also ich hatte gmer jetzt im abgesicherten modus laufen lassen, hatte deine antwort da noch nicht gelesen.

GMER

cosinus 17.12.2009 21:03

Das sieht auf jeden Fall schon mal anders (besser) aus. Starten GMER und die anderen Tools jetzt auch im normalen Modus, die vorher nicht starteten?
Die schädliche iaStor.sys kannst Du übrigens nun löschen.

sjw 17.12.2009 21:22

also gmer schon, die anderen beiden (also root repeal und antivir rootkit) starten nicht.

cosinus 17.12.2009 21:58

mach mal bitte einen Scan mit Malwarebytes , wahrscheinlich können durch das deaktivierte Rootkit jetzt mehr Schädlinge erkannt werden.

sjw 18.12.2009 13:42

Das brachte malwarebytes:

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3353
Windows 6.0.6000
Internet Explorer 7.0.6000.16386

18.12.2009 13:38:09
mbam-log-2009-12-18 (13-38-02).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 190444
Laufzeit: 1 hour(s), 5 minute(s), 58 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\GoogleUpdateBeta (Backdoor.IRCBot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\Temp\nqwq.tmp (Rogue.Installer) -> No action taken.

cosinus 21.12.2009 08:48

Mach bitte frische Logs mit RSIT und ein Logfile mit GMER in normalen (NICHT abgesicherten!) Modus.

sjw 21.12.2009 19:16

rsit ging Log

GMER hatte ich ca. 20 min. laufen bis der laptop wieder einfach so runtergefahren ist.

cosinus 21.12.2009 19:22

Combofix ist endlich wieder online, das sollte uns die Arbeit auch bzgl der TDL3-Infektion erheblich vereinfachen; mach damit bitte einen Durchlauf!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

sjw 21.12.2009 21:08

so bittesehr cofilog

cosinus 22.12.2009 10:14

c:\windows\system32\drivers\taphss.sys

Bitte diese Datei bei virustotal.com auswerten lassen und Ergebnislink posten. Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. (Deine XXX mit dem richtigen Namen wieder ersetzen!!)

Code:

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer3"=-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="-

File::
c:\windows\system32\C295.tmp
c:\windows\system32\drivers\taphss.sys

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

sjw 22.12.2009 16:38

Auswertung VirusTotal:

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis
a-squared        4.5.0.43        2009.12.22        -
AhnLab-V3        5.0.0.2        2009.12.22        -
AntiVir        7.9.1.122        2009.12.22        -
Antiy-AVL        2.0.3.7        2009.12.22        -
Authentium        5.2.0.5        2009.12.22        -
Avast        4.8.1351.0        2009.12.22        -
AVG        8.5.0.427        2009.12.22        -
BitDefender        7.2        2009.12.22        -
CAT-QuickHeal        10.00        2009.12.22        -
ClamAV        0.94.1        2009.12.22        -
Comodo        3332        2009.12.22        -
DrWeb        5.0.1.12181        2009.12.22        -
eSafe        7.0.17.0        2009.12.22        -
eTrust-Vet        35.1.7191        2009.12.22        -
F-Prot        4.5.1.85        2009.12.21        -
F-Secure        9.0.15370.0        2009.12.22        -
Fortinet        4.0.14.0        2009.12.22        -
GData        19        2009.12.22        -
Ikarus        T3.1.1.79.0        2009.12.22        -
K7AntiVirus        7.10.926        2009.12.22        -
Kaspersky        7.0.0.125        2009.12.22        -
McAfee        5839        2009.12.21        -
McAfee+Artemis        5839        2009.12.21        -
McAfee-GW-Edition        6.8.5        2009.12.22        -
Microsoft        1.5302        2009.12.22        -
NOD32        4709        2009.12.22        -
Norman        6.04.03        2009.12.22        -
nProtect        2009.1.8.0        2009.12.22        -
Panda        10.0.2.2        2009.12.15        -
PCTools        7.0.3.5        2009.12.22        -
Prevx        3.0        2009.12.22        -
Rising        22.27.01.04        2009.12.22        -
Sophos        4.49.0        2009.12.22        -
Sunbelt        3.2.1858.2        2009.12.22        -
Symantec        1.4.4.12        2009.12.22        -
TheHacker        6.5.0.3.103        2009.12.22        -
TrendMicro        9.120.0.1004        2009.12.22        -
VBA32        3.12.12.0        2009.12.22        -
ViRobot        2009.12.22.2102        2009.12.22        -
VirusBuster        5.0.21.0        2009.12.22        -


sjw 22.12.2009 17:35

Ich hab Cofix so wie beschrieben ausgeführt, aber nach einiger Zeit erschien der BlueScreen und Windows wurde ohne zu fragen runtergefahren.

Nach dem Neustart war auch keine Logdatei vorhanden.

cosinus 22.12.2009 18:39

Dann machen wir es wieder mit dem Avenger:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:

Registry values to delete:
HKLM\software\microsoft\windows nt\currentversion\drivers32 | mixer3

Registry keys to delete:
HKLM\SYSTEM\ControlSet001\Services\MEMSWEEP2

Files to delete:
c:\windows\system32\C295.tmp

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

sjw 22.12.2009 19:20

Hier der Avenger Log:

Code:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKLM\SYSTEM\ControlSet001\Services\MEMSWEEP2" deleted successfully.

Error:  file "c:\windows\system32\C295.tmp" not found!
Deletion of file "c:\windows\system32\C295.tmp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry value "HKLM\software\microsoft\windows nt\currentversion\drivers32|mixer3" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


cosinus 22.12.2009 19:41

Okay, ich denke jetzt sollte es i.O. gehen oder gibt noch Probleme? Wenn nicht, bitte unbedingt die Updates prüfen!!


Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update

Wichtige Updates die fehlen: SP2 + IE8 für Vista!



Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

Überprüf auch bitte den Adobe Flashplayer



Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

sjw 23.12.2009 12:32

Nein, alle Probleme sind behoben, Avira nervt mich nicht mehr ;) die updates werd ich in den nächsten Tagen ausführen.

Vielen Dank für deine Hilfe :dankeschoen:

Wünsch dir frohe Weihnachten und einen guten Rutsch ins neue Jahr.

Schöne Grüße

Svenja

cosinus 23.12.2009 12:46

Jo, Dir auch einen frohen Rutsch und gute Weihnachten :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131