Virus blockiert Zugriff auf Bitdefender, MCAfee usw. |
||
---|---|---|
#0
| ||
23.01.2009, 20:50
...neu hier
Beiträge: 5 |
||
|
||
23.01.2009, 21:09
Ehrenmitglied
Beiträge: 6028 |
#2
Lade von hier(Anhang) tdsbegone und führe es aus dabei wird dein rechner zweimal !! neu gestartet poste danach das log was erscheint
__________ MfG Argus |
|
|
||
23.01.2009, 21:20
...neu hier
Themenstarter Beiträge: 5 |
#3
c:\tdsbegone>echo off
========================================================================================================= (((((((((((((((((((((((((((((((((((((( TDSBeGone logfile )))))))))))))))))))))))))))))))))))))))))))))))) Running from: "c:\tdsbegone\tdsbegone.bat" Running on: 23.02.2009 21:14:51,18 Running by: Besitzer Windows version: Microsoft Windows XP [Version 5.1.2600] (((((((((((((((((((((((((((((((((((((((((( Step one ))))))))))))))))))))))))))))))))))))))))))))))))))))) No hardware ID's modified. No devices disabled. C:\tdsbegone>echo off (((((((((((((((((((((((((((((((((((((((((((( Step two ))))))))))))))))))))))))))))))))))))))))))))))))))) No devices removed. (((((((((((((((((((((((((((((((((((\ Deletion of several files /))))))))))))))))))))))))))))))))))))))))) ((((((((((((((((((((((((((((((((((\ Deletion of several regkeys /)))))))))))))))))))))))))))))))))))))))) ((((((((((((((((((\ Show files starting with "tds" present after deletion" (XP/Vista) /)))))))))))))))))) Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 7811-BD9D Verzeichnis von c:\windows\Prefetch 23.02.2009 21:14 11.282 TDSBEGONE.EXE-3037A511.pf 1 Datei(en) 11.282 Bytes Verzeichnis von c:\windows\system32 01.01.1601 01:00 0 01.01.1601 01:00 0 2 Datei(en) 0 Bytes Verzeichnis von c:\windows\system32\dllcache 02.04.2003 13:00 19.464 tdspx.sys 1 Datei(en) 19.464 Bytes Verzeichnis von c:\windows\system32\drivers 01.01.1601 01:00 0 1 Datei(en) 0 Bytes Verzeichnis von c:\windows\Temp 01.01.1601 01:00 0 01.01.1601 01:00 0 2 Datei(en) 0 Bytes Anzahl der angezeigten Dateien: 7 Datei(en) 30.746 Bytes 0 Verzeichnis(se), 53.747.400.704 Bytes frei ((((((((((((((((\ Show files starting with "tds" present after deletion" (Vista only) /)))))))))))))))))) (((((((((((((((((\ More detailled view to inform about filesize and last change /))))))))))))))))))) 1 Datei(en) kopiert. |
|
|
||
23.01.2009, 21:28
Ehrenmitglied
Beiträge: 6028 |
#4
Download die von mir umbenannte ComboFix von hier herunter(Anhang) und speichert es auf den Desktop!
Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte 1234567890.exe Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Anhang: 1234567890.exe __________ MfG Argus |
|
|
||
23.01.2009, 21:57
...neu hier
Themenstarter Beiträge: 5 |
#5
ComboFix 09-01-21.04 - Besitzer 2009-01-23 21:45:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.686 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\1234567890.exe AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) AV: Bitdefender Antivirus *On-access scanning enabled* (Updated) FW: Bitdefender Firewall *enabled* . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\msacm32.drv c:\windows\rasqervy.dll c:\windows\sdfinacs.dll c:\windows\sdfixwcs.dll c:\windows\system32\c_059378.nls c:\windows\system32\drivers\TDSScahh.sys c:\windows\system32\TDSSbqcg.log c:\windows\system32\TDSSbrik.dll c:\windows\system32\TDSSefrv.dll c:\windows\system32\TDSSlvul.dat c:\windows\system32\TDSSnmxh.log c:\windows\system32\TDSSpshc.dll c:\windows\system32\TDSSsqxd.dll c:\windows\system32\TDSSwhbd.dll c:\windows\system32\TDSSwhkf.log c:\windows\system32\TDSSybpo.dll c:\windows\wuasirvy.dll . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_TDSSSERV.SYS -------\Legacy_TDSSSERV.SYS ((((((((((((((((((((((( Dateien erstellt von 2008-12-23 bis 2009-01-23 )))))))))))))))))))))))))))))) . 2009-10-20 13:39 . 2009-10-20 13:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PixelPlanet 2009-10-20 08:41 . 2004-08-26 14:18 1,773,568 --a------ c:\windows\system32\gdiplus.dll 2009-02-23 21:05 . 2009-02-23 21:05 <DIR> d-------- c:\programme\Avira 2009-02-23 21:05 . 2009-02-23 21:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira 2009-01-23 10:00 . 2009-01-23 10:00 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-01-23 10:00 . 2009-01-08 12:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys 2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d-------- c:\programme\Lavasoft 2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft 2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800} 2009-01-22 23:15 . 2009-01-22 23:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Bitdefender 2009-01-22 23:13 . 2008-08-23 06:46 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen 2009-01-22 23:13 . 2008-08-22 23:06 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü 2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung 2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2009-01-22 23:13 . 2009-01-22 23:14 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten 2009-01-22 23:13 . 2008-08-23 06:52 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung 2009-01-22 23:13 . 2009-01-22 23:15 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2009-01-22 23:13 . 2009-01-22 23:13 <DIR> d-------- c:\dokumente und einstellungen\Administrator 2009-01-22 22:56 . 2009-01-22 22:56 <DIR> d-------- c:\programme\Sophos 2009-01-22 13:54 . 2009-01-22 13:54 <DIR> d-------- c:\programme\Trend Micro . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-23 20:50 81,984 ----a-w c:\windows\system32\bdod.bin 2008-12-27 08:17 --------- d--h--w c:\programme\InstallShield Installation Information 2008-12-13 13:21 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AdobeUM 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-10 13:54 38,688 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2008-11-30 20:47 --------- d-----w c:\programme\Java 2008-11-24 13:24 --------- d-----w c:\programme\Google 2008-11-15 12:32 30 ----a-w c:\dokumente und einstellungen\Besitzer\jagex_runescape_preferences.dat 2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 32873] "BDMCon"="c:\programme\Softwin\BitDefender10\bdmcon.exe" [2008-08-23 290816] "BDAgent"="c:\programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 69632] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064] "avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497] "SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] Pinnacle Scheduler.lnk - c:\programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-09-04 237568] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.PIM1"= PCLEPIM1.dll "wave1"= c_059378.nls "aux1"= c_059378.nls "wave2"= c_059378.nls "mixer2"= c_059378.nls "midi2"= c_059378.nls "mixer1"= c_059378.nls "midi1"= c_059378.nls "aux2"= c_059378.nls "25059409"= 38453943373038332d393646332d343732412d384238342d464635334343313833363731 "25059398"= 2958442cc23cf2aaf7326c0d58640 "25059428"= 6ef8b27bf3af070064dd571a1159cc "25059408"= 5f81ecb020198e43dd953b3fa6538c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"= R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-23 64160] R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [2008-09-04 6400] S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\D27B.tmp --> c:\windows\system32\D27B.tmp [?] S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-08 915792] . Inhalt des "geplante Tasks" Ordners 2009-01-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-08 13:00] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 . ************************************************************************** Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"="\??\c:\windows\system32\D27B.tmp" . Zeit der Fertigstellung: 2009-01-23 21:55:25 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2009-01-23 20:55:20 Vor Suchlauf: 17 Verzeichnis(se), 53,683,744,768 Bytes frei Nach Suchlauf: 17 Verzeichnis(se), 53,728,870,400 Bytes frei WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn 144 --- E O F --- 2009-01-14 07:07:36 P.S.: Scheint weg zu sein. Danke Argus! Dieser Beitrag wurde am 23.01.2009 um 22:12 Uhr von NYCTramp editiert.
|
|
|
||
23.01.2009, 22:12
Ehrenmitglied
Beiträge: 6028 |
#6
Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren VISTA Öffnen Sie den Explorer und gehen in der oberen linken Ecke auf „Organisieren“. Wählen Sie den Punkt Ordner und Suchoptionen. Im Register „Ansicht“ gehen Sie auf „Versteckte Dateien und Ordner“ und wählen hier, alle Dateien und Ordner anzeigen. Bestätigen Sie nun mit O.K. um diese Änderung zu übernehmen. Prüfe mal diese Datei(en) bei Virustotal Zitat c:\windows\system32\c_059378.nlsNote: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“ Poste die Daten Poste nur die URL am Ende(der link oben in der leiste) __________ MfG Argus |
|
|
||
23.01.2009, 22:24
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo Argus,
die Datei habe ich an anderer Stelle gefunden: C:\Qoobox\Quarantine\C\Windows\system32 und sie lautet c_059378.nls.vir Ich denke aber das ist die richtige. Hier der Link: http://www.virustotal.com/de/analisis/b4a5e46421645e452797a0a0dd040eab |
|
|
||
23.01.2009, 22:33
Ehrenmitglied
Beiträge: 6028 |
#8
Wenn du Onlinebaking machst sollte man sein Rechner neu aufsetzen
und al seine Passworte aendern Riecht nach "Silentbanker" http://www.securecomputing.net.au/News/124969,new-version-of-silentbanker-trojan-causes-concern.aspx __________ MfG Argus |
|
|
||
23.01.2009, 22:36
...neu hier
Themenstarter Beiträge: 5 |
#9
Onlinebanking habe ich abgeschafft. Bin wieder beim guten alten ausfüllen von Überweisungen.
Die einzigen Passwörter sind die von Emailprogrammen und einigen Foren. Mehr ist nicht gespeichert. Die werde ich ändern. Danke und Gruß NYCTramp |
|
|
||
23.01.2009, 22:38
Ehrenmitglied
Beiträge: 6028 |
||
|
||
23.01.2009, 22:40
Ehrenmitglied
Beiträge: 6028 |
#11
cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat Registry::CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen Combofix noch mal anwenden poste dann nach Neustart das neue Log __________ MfG Argus |
|
|
||
Ich erhalte keinen Zugriff auf:
Bitdefender
McAfee
Lavasoft
PCTools
Eingeschränkter Zugriff auf
Hijackthis
Teile von Microsoft (Downloads funktionieren nicht)
Firefox und IE sind gekappert. Klicks auf Ergebnisse aus Suchmaschinen werden auf andere Webseiten umgeleitet. Der Aufruf einer Internetseite direkt funktioniert (allerdings nicht bei Internetseiten von Securitysoftware jeglicher Art).
Installiert ist Bitdefender 10 mit der aktuellsten Antivirenengine. Er findet allerdings keinen Virus. Hijackthis ist ebenfalls installiert und findet auch nichts. Ad-Aware Free (Lavasoft) findet einen Win32Backdoor.TDSS. Nach der Entfernung ist er allerdings sofort wieder da. Ad-Aware hat nicht den aktuellsten Stand da das Update nicht funktioniert.
AVIS findet einen Adware.netadware.gen. Beim gestrigen Scan kein Ergebnis.
Gmer lässt sich nicht ausführen.
Software die per Email ankommt lässt der Virus durch.
Hat jemand eine Idee?