Backdoor.Tidserv durch Norton gefunden

#0
26.10.2008, 18:54
Member

Beiträge: 26
#1 Hallo!

Hab ein Problem:

mein Norton hat diese auffällige Datein gefunden, Anti-Vir hat diese nicht entdeckt und auch bei der Logfile-Auswertung durch HighjackThis wurde nichts gefunden - was kann ich jetzt machen?
Meine Lizenz bei Norton is abgelaufen und die möchte ich ungern verlängern, weshalb ich das "Ding" nicht mit Norton entfernen kann...
was kann ich tun?

Danke für Eure Hilfe!!!

Nachtrag:

das "Ding" scheint Seiten wie kaspersky zu blockieren.
Werde zudem auch immer wieder, wenn ich google, auf komplett andere Seiten weitergeleitet.

Hier mein aktueller HiJackThis-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:47, on 26.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\BUtilityBar\BisonBar.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Logitech\Gaming Software\LWEMon.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\Empowering Technology\eLock\Monitor\LockMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\Matze\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Programme\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [eLockMonitor] C:\Acer\Empowering Technology\eLock\Monitor\LaunchMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe 0
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [BisonBar] C:\WINDOWS\BUtilityBar\BisonBar.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Programme\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 11895 bytes
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Dieser Beitrag wurde am 26.10.2008 um 19:39 Uhr von Pharao editiert.
Seitenanfang Seitenende
26.10.2008, 20:09
Moderator

Beiträge: 7805
#2 Das Ding ist extremst nervig, besonders die neuste Variante davon wird sehr schlecht erkannt und laesst sich genauso schlecht entfernen...


Nutze bitte Mbam. Anleitung dazu findest du hier:
http://board.protecus.de/t23188.htm

Sollte mbam geblockt werden, melde dich nochmal.

Nicht Combofix nutzen!

Mbam nach einem neustart erneut den Rechner pruefen lassen und schauen, ob erneut etwas gefunden wird.

Danach bitte Catchme herunterladen, starten, scan waehlen und das auf dem Desktop erzeugte catchme.log posten.
Catchme gibts hier: http://files.thespykiller.co.uk/catchme.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.10.2008, 20:13
Member

Themenstarter

Beiträge: 26
#3 Hallo Ralf,

vollständiger Scan oder Quick-Scan mit Mbam?
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Seitenanfang Seitenende
26.10.2008, 20:23
Moderator

Beiträge: 7805
#4 "Quick" sollte erstmal reichen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.10.2008, 20:34
Member

Themenstarter

Beiträge: 26
#5 ...hab ich gemacht und den Log nach dem ersten Scan gespeichert.
Da kamen dann 5 Meldungen über infizierte Objekte, welche Allerdings erst nach einem "Neustart vollständig zu entfernen seien".
Beim Runterfahren kam ne Fehlermeldung Norton, anschließend BlueScreen und nun komm ich nur noch in den abgesicherten Modus rein, weil mein PC sagt es gäbe einen Hardwarefehler...
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Seitenanfang Seitenende
26.10.2008, 20:46
Moderator

Beiträge: 7805
#6 Ich liebe TDSS Varianten. Kannst du den bam Report trotzdem mal hier. Du solltst mbam im abgesicherten Modus starten koennen und so auf den Report zugreifen koennen.

Wichtig ist erst einmal Daten extern sichern, keine Systemwiederherstellung oder aehnliches versuchen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.10.2008, 20:49
Member

Themenstarter

Beiträge: 26
#7 ...muss ich keine Angst haben, dass sich das Ding auch auf meine externe kopiert?
die Antwort is sicher "zu 100% kann man sich nie sicher sein"...
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Seitenanfang Seitenende
26.10.2008, 21:04
Moderator

Beiträge: 7805
#8 Das ist relativ unwahrscheinlich, nur "zu 100% kann man sich nie sicher sein" ;)

Sichere nur Daten, keine Programme oder aehnliches. Das musst du so oder so, falls du komplett neu aufsetzen musst...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.10.2008, 21:17
Member

Themenstarter

Beiträge: 26
#9 ...kann leider im abgesicherten Modus nicht ins Netz - tausche die Daten also immer mit nem Stick.
Hier das gesicherte Logfile VOR dem Absturz:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1324
Windows 5.1.2600 Service Pack 2

26.10.2008 20:14:54
mbam-log-2008-10-26 (20-14-54).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 58664
Laufzeit: 2 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Seitenanfang Seitenende
26.10.2008, 21:35
Moderator

Beiträge: 7805
#10 Du kannst die Dinge, die Mbam "repariert" hat auch wiederherstellen lassen. Versuche es, aber denke an die Backups....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.10.2008, 21:46
Member

Themenstarter

Beiträge: 26
#11 ...kann ich das über Mbam direkt rückgängig machen lassen oder Systemwiederherrstellung?
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Seitenanfang Seitenende
26.10.2008, 21:46
Member

Beiträge: 325
#12 Hallo Pharo! Wie es aussieht, hat die Schadware Deinen Eintrag unter "Userinit" zerschossen und Malwarebytes hat es zwar gelöscht, aber nicht wieder korrekt "beschrieben". Kämpfe Dich mal in der Registry zu den Eintrag:

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
zum Vergleich ist ein Bild im Anhang wie der Eintrag bei mir aussieht-(achte auf das Komma am Schluß):
-vllt. kannst Du ja mal einen analogen Screenshot von Dir posten ??

Anhang: Userinit.JPG
Seitenanfang Seitenende
26.10.2008, 22:18
Member

Themenstarter

Beiträge: 26
#13 ...is genau der gleiche Eintrag.


__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Dieser Beitrag wurde am 26.10.2008 um 22:21 Uhr von Pharao editiert.
Seitenanfang Seitenende
26.10.2008, 22:30
Member

Beiträge: 325
#14 ...Shit, aber einen Versuch war's wert !
...dann mache am besten mit der Wiederherstellung über MBam weiter wie Raman geschrieben hat ! Was mich etwas irritiert, ist, dass die Infizierte Datei in System32 unter "keinem" Namen läuft ?!
...Noch 'ne Idee: gibt es bei Dir überhaupt noch eine (originale) Userinit.exe in System32,- sie müßte 25.088 Bytes groß sein ?
Dieser Beitrag wurde am 26.10.2008 um 22:38 Uhr von Provisitor editiert.
Seitenanfang Seitenende
27.10.2008, 09:09
Member

Themenstarter

Beiträge: 26
#15 Morgen!

Bräuchte mal Anleitung, wie ich das vorangegangene mit Mbam wieder rückgängig machen kann...

Danke!

Update:
Das Lof von Mbam heute morgen...aus vier sind 20 geworden:

Malwarebytes' Anti-Malware 1.30
Database version: 1324
Windows 5.1.2600 Service Pack 2

27.10.2008 09:13:12
mbam-log-2008-10-27 (09-13-05).txt

Scan type: Quick Scan
Objects scanned: 55267
Time elapsed: 2 minute(s), 13 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 20

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\TDSScb98.tmp (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Matze\Lokale Einstellungen\Temp\TDSScba7.tmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\TDSSoiqt.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSrtqp.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSrhyp.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSosvd.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSbrsr.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSnmxh.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSStkdu.dll (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\TDSSvvbj.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSsihc.log (Trojan.TDSS) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSmhlt.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> No action taken.

@provisitor: die Größe der Datei is gleich...
__________
Es ist ein gewaltiger Irrtum zu meinen, deshalb, weil etwas gesagt worden ist, wurde es schon gehört.
Dieser Beitrag wurde am 27.10.2008 um 09:41 Uhr von Pharao editiert.
Seitenanfang Seitenende