Home » Viren, Trojaner & Malware Forum » Trojan.Virantix.C und Backdoor.Tidserv loswerden » Themenansicht

Trojan.Virantix.C und Backdoor.Tidserv loswerden

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.10.2008, 15:34
Eugen2
...neu hier

Beiträge: 4
#1 Hallo zusammen,

mein Rechner ist vorhin plötzlich runtergefahren und nach dem Neustart war ein penetrantes rotes Kreuz in der Taskleiste zu sehen, dass immer wieder ein "your computer is infected" pop-up brachte. Habe daraufhin das AVG Anti-Rootkit laufen lassen. Es wurden 12 "Probleme" gefunden: brastk und eine Reihe von TDS[xx] Einträgen. Habe alle entfernen lassen aber nach einem Neustart ist das rote Kreuz noch immer da.

Habe nun die im Forum beschriebene Prozedur durchgearbeitet. Nach Malwarebytes war das rote Kreuz zwar weg, aber der Symantech Online Scanner meldet immer noch infizierte Dateien. Untenstehend findet Ihr die entsprechenden Logs

Wäre super, wenn Ihr mir helfen könntet, die Übeltäter wieder loszuwerden!

Malwarebytes Log:

Zitat

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1331
Windows 5.1.2600 Service Pack 3

28.10.2008 13:50:34
mbam-log-2008-10-28 (13-50-34).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 126831
Laufzeit: 1 hour(s), 24 minute(s), 56 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\av.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\wrdwn2 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\wrdwn3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\wrdwn4 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\wrdwn5 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\TDSS97a6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Eugen\Lokale Einstellungen\Temp\TDSS9832.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Combofix Log:

Zitat

ComboFix 08-10-27.05 - Eugen 2008-10-28 14:00:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.248 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Eugen\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV.SYS
-------\Service_TDSSserv.sys


((((((((((((((((((((((( Dateien erstellt von 2008-09-28 bis 2008-10-28 ))))))))))))))))))))))))))))))
.

2008-10-28 10:14 . 2008-10-28 10:14 <DIR> d-------- C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Malwarebytes
2008-10-28 10:13 . 2008-10-28 10:13 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-28 10:13 . 2008-10-28 10:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-28 10:13 . 2008-10-22 16:10 38,496 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-28 10:13 . 2008-10-22 16:10 15,504 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-28 09:50 . 2008-10-28 09:50 <DIR> d-------- C:\Programme\CCleaner
2008-10-28 09:45 . 2008-10-28 09:45 <DIR> d-------- C:\Programme\Trend Micro
2008-10-28 09:17 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-10-28 08:51 . 2008-10-28 09:36 1,502,801 --a------ C:\WINDOWS\system32\TDSSnmxh.lo_
2008-10-28 08:47 . 2008-10-28 08:47 1,604 --a------ C:\WINDOWS\system32\TDSSbubx.lo_
2008-10-28 08:46 . 2008-10-28 09:38 10,240 --a------ C:\WINDOWS\system32\brastk.ex_
2008-10-28 08:41 . 2008-10-28 08:41 77,824 --a------ C:\WINDOWS\system32\TDSSxfum.dl_
2008-10-28 08:41 . 2008-10-28 08:41 50,176 --a------ C:\WINDOWS\system32\drivers\TDSSmqlt.sy_
2008-10-28 08:41 . 2008-10-28 08:41 31,232 --a------ C:\WINDOWS\system32\TDSSriqp.dl_
2008-10-28 08:41 . 2008-10-28 08:41 30,720 --a------ C:\WINDOWS\system32\TDSSrhym.dl_
2008-10-28 08:41 . 2008-10-28 08:41 29,696 --a------ C:\WINDOWS\system32\TDSSbrsr.dl_
2008-10-28 08:41 . 2008-10-28 08:41 26,112 --a------ C:\WINDOWS\system32\TDSSoiqh.dl_
2008-10-28 08:41 . 2008-10-28 09:20 2,852 --a------ C:\WINDOWS\system32\TDSSlxwp.dl_
2008-10-28 08:41 . 2008-10-28 08:41 164 --a------ C:\WINDOWS\system32\TDSSosvd.da_
2008-10-24 05:56 . 2008-10-15 17:35 337,408 --------- C:\WINDOWS\system32\dllcache\netapi32.dll
2008-10-16 11:01 . 2008-09-08 11:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-16 11:00 . 2008-08-14 14:19 2,191,488 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-16 11:00 . 2008-08-14 14:19 2,147,840 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-16 11:00 . 2008-08-14 14:19 2,068,352 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-16 11:00 . 2008-08-14 14:19 2,026,496 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-16 11:00 . 2008-09-15 16:24 1,846,528 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-10 09:56 . 2008-10-10 09:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-10-10 09:55 . 2008-10-10 09:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-25 12:10 --------- d-----w C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Canon
2008-10-23 07:34 --------- d-----w C:\Programme\SmartPLS2
2008-10-09 17:50 --------- d-----w C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\AdobeUM
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-09-01 11:48 --------- d-----w C:\Programme\Vodei
2008-01-22 19:58 61,200 ----a-w C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-11-27 11:15 61,200 ----a-w C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-31 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-31 512000]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2004-08-06 94208]
"BMMLREF"="C:\Programme\ThinkPad\Utilities\BMMLREF.EXE" [2003-07-11 20480]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2003-08-08 897024]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2003-07-18 208896]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"UC_Start"="C:\IBMTools\Updater\ucstartup.exe" [2003-03-17 32768]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2003-05-05 114741]
"BMMGAG"="C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2003-07-11 94208]
"QCWLICON"="C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2004-08-18 81920]
"AVK Mail Checker"="C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" [2004-10-07 364544]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 256576]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-10-10 185872]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 C:\WINDOWS\system32\bthprops.cpl]
"TpShocks"="TpShocks.exe" [2003-09-04 C:\WINDOWS\system32\TpShocks.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 C:\WINDOWS\AGRSMMSG.exe]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-05 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 217193]
Firewall.lnk - C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe [2005-04-29 2179199]
VPN Client.lnk - C:\WINDOWS\Installer\{4C271126-C295-4828-A901-5910AE0C258B}\Icon3E5562ED7.ico [2008-07-18 6144]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2004-08-18 02:30 258048 C:\WINDOWS\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiHacker]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"C:\\IBMTOOLS\\Updater\\jre\\bin\\javaw.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WCESCOMM.EXE"=
"C:\\Programme\\Microsoft ActiveSync\\WCESMGR.EXE"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\spoolsv.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe"= C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPop.exe:127.0.0.1/255.255.255.255:Enabled:AntiVirenKit eMail Virenblocker
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Microsoft Office\\Office10\\OUTLOOK.EXE"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2003-09-05 51608]
R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2004-08-18 11520]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\drivers\IBMBLDID.SYS [2004-08-18 2432]
R1 TPPWR;TPPWR;C:\WINDOWS\system32\drivers\Tppwr.sys [2003-07-11 15360]
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe [2004-09-28 299008]
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe [2004-11-30 561152]
R2 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2003-07-24 4225]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2005-04-29 50458]
R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2005-04-29 12738]
S3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2001-08-17 802683]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2004-08-18 12288]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73b5a9a0-9cd9-11dc-867d-0004238e165c}]
\Shell\AutoRun\command - E:\LaunchU3.exe
.
Inhalt des "geplante Tasks" Ordners

2008-09-22 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 17:13]

2004-05-07 C:\WINDOWS\Tasks\BMMTask.job
- C:\PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2003-07-11 09:34]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-brastk - C:\WINDOWS\system32\brastk.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Eugen\Anwendungsdaten\Mozilla\Firefox\Profiles\zq7fdwnq.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-28 14:07:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\QCONSVC.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-28 14:12:12 - PC wurde neu gestartet [Eugen]
ComboFix-quarantined-files.txt 2008-10-28 13:12:08

Vor Suchlauf: 2.337.783.808 Bytes frei
Nach Suchlauf: 3,558,821,888 Bytes frei

185 --- E O F --- 2008-10-24 13:03:19
Highjackthis Log:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:14:32, on 28.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\TpShocks.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.whu.edu:3128
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 8058 bytes
Datfind.bat Log:

Zitat

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: A41E-1547

Verzeichnis von C:\WINDOWS\system32

28.10.2008 14:07 2.278 wpa.dbl
28.10.2008 09:38 10.240 brastk.ex_
28.10.2008 09:36 1.502.801 TDSSnmxh.lo_
28.10.2008 09:20 2.852 TDSSlxwp.dl_
28.10.2008 08:47 1.604 TDSSbubx.lo_
28.10.2008 08:41 30.720 TDSSrhym.dl_
28.10.2008 08:41 77.824 TDSSxfum.dl_
28.10.2008 08:41 31.232 TDSSriqp.dl_
28.10.2008 08:41 29.696 TDSSbrsr.dl_
28.10.2008 08:41 26.112 TDSSoiqh.dl_
28.10.2008 08:41 164 TDSSosvd.da_
26.10.2008 15:51 380.684 perfh009.dat
26.10.2008 15:51 53.098 perfc009.dat
26.10.2008 15:51 391.574 perfh007.dat
26.10.2008 15:51 63.976 perfc007.dat
26.10.2008 15:51 897.778 PerfStringBackup.INI
16.10.2008 21:43 336.920 FNTCACHE.DAT
15.10.2008 17:35 337.408 netapi32.dll
10.10.2008 09:56 185.920 rmoc3260.dll
10.10.2008 09:56 5.632 pndx5032.dll
10.10.2008 09:56 6.656 pndx5016.dll
10.10.2008 09:56 499.712 msvcp71.dll
10.10.2008 09:56 278.528 pncrt.dll
07.10.2008 20:19 16.721.856 MRT.exe
03.10.2008 17:58 6.066.176 ieframe.dll
15.09.2008 16:24 1.846.528 win32k.sys
09.09.2008 12:46 90 spupdwxp.log
27.08.2008 09:57 3.593.216 mshtml.dll
26.08.2008 08:57 1.159.680 urlmon.dll
26.08.2008 08:57 233.472 webcheck.dll
26.08.2008 08:57 826.368 wininet.dll
26.08.2008 08:57 105.984 url.dll
26.08.2008 08:57 671.232 mstime.dll
26.08.2008 08:57 477.696 mshtmled.dll
26.08.2008 08:57 102.912 occache.dll
26.08.2008 08:57 44.544 pngfilt.dll
26.08.2008 08:57 193.024 msrating.dll
26.08.2008 08:57 459.264 msfeeds.dll
26.08.2008 08:57 52.224 msfeedsbs.dll
26.08.2008 08:57 27.648 jsproxy.dll
26.08.2008 08:57 44.544 iernonce.dll
26.08.2008 08:57 1.831.424 inetcpl.cpl
26.08.2008 08:57 267.776 iertutil.dll
26.08.2008 08:57 230.400 ieaksie.dll
26.08.2008 08:57 383.488 ieapfltr.dll
26.08.2008 08:57 347.136 dxtmsft.dll
26.08.2008 08:57 214.528 dxtrans.dll
26.08.2008 08:57 153.088 ieakeng.dll
26.08.2008 08:57 133.120 extmgr.dll
26.08.2008 08:57 384.512 iedkcs32.dll
26.08.2008 08:57 63.488 icardie.dll
26.08.2008 08:57 124.928 advpack.dll
25.08.2008 09:38 13.824 ieudinit.exe
25.08.2008 09:37 70.656 ie4uinit.exe
23.08.2008 06:54 161.792 ieakui.dll
14.08.2008 14:19 2.068.352 ntkrnlpa.exe
14.08.2008 14:19 2.191.488 ntoskrnl.exe
14.08.2008 03:19 608.968 TZLog.log

.
.
.
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: A41E-1547

Verzeichnis von C:\DOKUME~1\Eugen\LOKALE~1\Temp

28.10.2008 14:18 115.412 datfind.txt
28.10.2008 14:12 173 jusched.log
2 Datei(en) 115.585 Bytes
0 Verzeichnis(se), 3.689.242.624 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist Festplatte
Volumeseriennummer: A41E-1547

Verzeichnis von C:\WINDOWS

28.10.2008 14:09 50 wiaservc.log
28.10.2008 14:07 1.401.871 WindowsUpdate.log
28.10.2008 14:07 227 system.ini
28.10.2008 14:06 0 0.log
28.10.2008 14:06 2.048 bootstat.dat
28.10.2008 14:00 32.624 SchedLgU.Txt
28.10.2008 13:52 0 Sti_Trace.log
04.08.2008 20:49 1.059.206 setupapi.log.2.old
.
.
.
Symantech Online Scanner:

Zitat

73633 files scanned, 6 file(s) infected on your disk drives.

No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

C:\WINDOWS\system32\brastk.ex_ is infected with Trojan.Virantix.C
C:\WINDOWS\system32\TDSSbrsr.dl_ is infected with Backdoor.Tidserv
C:\WINDOWS\system32\TDSSrhym.dl_ is infected with Backdoor.Tidserv
C:\WINDOWS\system32\TDSSriqp.dl_ is infected with Backdoor.Tidserv
C:\WINDOWS\system32\TDSSxfum.dl_ is infected with Downloader.Trojan
C:\WINDOWS\system32\drivers\TDSSmqlt.sy_ is infected with Backdoor.Tidserv
Besten Dank!
Seitenanfang Seitenende
28.10.2008, 17:16
raman
Moderator

Beiträge: 7805
#2 Loesch die Dateien, die dir Symantec angezeigt hat, bzw diese Dateien:

C:\WINDOWS\system32\TDSSbubx.lo_
2008-10-28 08:46 . 2008-10-28 09:38 10,240 --a------ C:\WINDOWS\system32\brastk.ex_
2008-10-28 08:41 . 2008-10-28 08:41 77,824 --a------ C:\WINDOWS\system32\TDSSxfum.dl_
2008-10-28 08:41 . 2008-10-28 08:41 50,176 --a------ C:\WINDOWS\system32\drivers\TDSSmqlt.sy_
2008-10-28 08:41 . 2008-10-28 08:41 31,232 --a------ C:\WINDOWS\system32\TDSSriqp.dl_
2008-10-28 08:41 . 2008-10-28 08:41 30,720 --a------ C:\WINDOWS\system32\TDSSrhym.dl_
2008-10-28 08:41 . 2008-10-28 08:41 29,696 --a------ C:\WINDOWS\system32\TDSSbrsr.dl_
2008-10-28 08:41 . 2008-10-28 08:41 26,112 --a------ C:\WINDOWS\system32\TDSSoiqh.dl_
2008-10-28 08:41 . 2008-10-28 09:20 2,852 --a------ C:\WINDOWS\system32\TDSSlxwp.dl_
2008-10-28 08:41 . 2008-10-28 08:41 164 --a------ C:\WINDOWS\system32\TDSSosvd.da_

und du solltest mal sehen, das du dir einen aktuellen Virenschutz zulegst. Deiner scheint irgendwo von 2004 zu sein!

Ein Kontrollscan mit drweb www.freedrweb.com koennte nicht schaden. Genauso wie ein Scan mit der Avira Bootcd:
http://board.protecus.de/t23979.htm#298775
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.03.2009, 11:31
huskie
...neu hier

Beiträge: 1
#3 Habe ebenfalls ein Problem mit BAckdoor.Tidserv.
Wie kann ich den Kumpel loswerden??
Anbei die Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:55, on 21.03.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Windows\System32\ServoApp.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\notepad.exe
C:\Windows\Explorer.exe
C:\Users\P W\Downloads\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
R3 - URLSearchHook: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Smart PC Toolbar - {e3aaf71e-b295-4156-ae11-777237a1db3c} - C:\Program Files\Smart_PC\tbSmar.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\HomeCinema\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\PowerProducer" update "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0"
O4 - HKLM\..\Run: [UpdatePDRShortCut] "C:\Program Files\HomeCinema\PowerDirector\MUITransfer\MUIStartMenu.exe" "C:\Program Files\HomeCinema\PowerDirector" UpdateWithCreateOnce "Software\CyberLink\PowerDirector\7.0"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360 Online\osCheck.exe"
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [Server Application] C:\Windows\system32\ServoApp.exe
O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Users\P W\Downloads\Eigene Programme\NOKIA\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [BullGuard] "C:\Program Files\BullGuard Ltd\BullGuard\BullGuard.exe" (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [RoboForm] "C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe" (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [EPSON Stylus SX400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIEGE.EXE /FU "C:\Windows\TEMP\E_SF2E9.tmp" /EF "HKCU" (User 'P W')
O4 - HKUS\S-1-5-21-3817051520-1896465643-3489611540-1003\..\Run: [gugqeee] "c:\users\administrator pw\appdata\local\gugqeee.exe" gugqeee (User 'P W')
O4 - S-1-5-21-3817051520-1896465643-3489611540-1003 Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'P W')
O4 - S-1-5-21-3817051520-1896465643-3489611540-1003 User Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (User 'P W')
O4 - Startup: tax aktuell.lnk = C:\Program Files\Buhl finance\tax 2009 Standard\taxaktuell.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 (file missing)
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-15/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.72,85.255.112.151
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c98d15848f2ed) (gupdate1c98d15848f2ed) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 14285 bytes
Seitenanfang Seitenende
22.03.2009, 19:20
Swisstreasure
Moderator

Beiträge: 5694
#4 >>
Deine Internetleitung wird in die Ukraine umgeleitet

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

Zitat

C:\Windows\system32\ServoApp.exe
c:\users\administrator pw\appdata\local\gugqeee.exe
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
FixWareout
Download FixWareout zum Desktop
Doppelklick Fixwareout.exe um es zu starten
Klicke Next und dan auf Install, achte darauf das Run fixit angehaakt ist und klick Finish.
Der Fix faengt an und folge die Instruktion im Fenster
Wenn gefragt wird dein Rechner neu zu starten,starte neu
Dein Rechner startet jetzt langsamer das ist normal
Poste den Inhalt von C:\fixwareout\report.txt (report.txt).

Note*
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste auf Default Connection (Normale Verbindung), das ist normalerweise die örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder vorhanden).

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Poste ein neues Hijackthis-Log.

EDIT: Gehe unter Software und entferne: AskTBar


Gruss Swiss
Dieser Beitrag wurde am 22.03.2009 um 19:57 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
18.04.2009, 14:42
DenyG
...neu hier

Beiträge: 1
#5 Ich hatte das Problem auch allerdings hat mein Norton 360 es sofort bemerkt und die betroffen Dateien entfernt. Kann Norton nur weiterempfehlen ;)

PS: Ich benutze mittlerweile Norton Antivirus Online, sehr gutes Programm.
Man kanns nur weiterempfehlen und hat auch eine klasse Design ;)
Seitenanfang Seitenende
17.09.2010, 07:30
Chris1972
Member

Beiträge: 29
#6 Guten Morgen,

ich habe mir Gestern dummerweise ebenfalls den Rootkit Tidserv eingehandelt.
Nach einem Re-Boot konnte das Betriebssystem nicht mehr gestartet werden.

Meine Frage an Euch:

Ich habe Windows7 Home Version.
Ich komme nur mittels Bootdisk (Recovery DVD) von HP in eine Übersicht, wo ich die Wahl habe von
-) System zurücksetzen (was weniger Vorteilhaft ist)
-) System reparieren (was überhaupt nix bringt, da Virus in MBR ist)
-) System auf Werkeinstellung zurück setzen !

Soll ich mein System auf Werkeinstellung zurück setzen, wird dann auch der MBR Neu überschrieben oder ratet Ihr mir die Platte zu formatieren ?

Nun, sollte ich die Platte formatieren, dumme Frage, wie mache ich das wenn ich nur auf die Recovery DVD zugreifen kann und sonst auf nix anderes, kein MSDOS oder so ?

Bitte um Hilfe !
Seitenanfang Seitenende
17.09.2010, 14:50
Chris1972
Member

Beiträge: 29
#7 Nachtrag:

Hallo, hab etwas gegoogelt und glaube ich ne Lösung gefunden.

Via BootDisk von hier: http://www.free-av.com/de/produkte/12/avira_antivir_rescue_system.html

Diese kann ich mir am Lapi erstellen.

Andere Bootdisks hab ich auch gefunden, wie diese LINKS (hab aber mom keine Garantie dafür, dass die wirklich funktionieren)

http://www.freedrweb.com/livecd/ kommt von: http://scareware.de/2010/01/kostenlose-antivirus-boot-cd-dr-web-live-cd/

http://board.gulli.com/thread/1560273-virus-wie-schlimm-entfernen/


http://scareware.de/2010/01/kaspersky-rescue-disk-antivirus-cd/

Aber wenn die Dinger da oben funktionieren, kann ich vielleicht auf meinen Desktop und dann die Platte formatieren.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1