Virus blockiert Zugriff auf Bitdefender, MCAfee usw.

#1 Ich habe mir irgendwoher einen Virus eingefangen, der in der Lage ist den Zugriff auf sämtliche Internetseiten von Antivirensoftware usw. zu blockieren.

Ich erhalte keinen Zugriff auf:
Bitdefender
McAfee
Lavasoft
PCTools

Eingeschränkter Zugriff auf
Hijackthis
Teile von Microsoft (Downloads funktionieren nicht)

Firefox und IE sind gekappert. Klicks auf Ergebnisse aus Suchmaschinen werden auf andere Webseiten umgeleitet. Der Aufruf einer Internetseite direkt funktioniert (allerdings nicht bei Internetseiten von Securitysoftware jeglicher Art).

Installiert ist Bitdefender 10 mit der aktuellsten Antivirenengine. Er findet allerdings keinen Virus. Hijackthis ist ebenfalls installiert und findet auch nichts. Ad-Aware Free (Lavasoft) findet einen Win32Backdoor.TDSS. Nach der Entfernung ist er allerdings sofort wieder da. Ad-Aware hat nicht den aktuellsten Stand da das Update nicht funktioniert.

AVIS findet einen Adware.netadware.gen. Beim gestrigen Scan kein Ergebnis.
Gmer lässt sich nicht ausführen.

Software die per Email ankommt lässt der Virus durch.

Hat jemand eine Idee?

#2 Lade von hier(Anhang) tdsbegone und führe es aus dabei wird dein rechner zweimal !! neu gestartet poste danach das log was erscheint
__________
MfG Argus

#3 c:\tdsbegone>echo off
=========================================================================================================
(((((((((((((((((((((((((((((((((((((( TDSBeGone logfile ))))))))))))))))))))))))))))))))))))))))))))))))
Running from:
"c:\tdsbegone\tdsbegone.bat"
Running on:
23.02.2009 21:14:51,18
Running by:
Besitzer
Windows version:

Microsoft Windows XP [Version 5.1.2600]


(((((((((((((((((((((((((((((((((((((((((( Step one )))))))))))))))))))))))))))))))))))))))))))))))))))))

No hardware ID's modified.
No devices disabled.



C:\tdsbegone>echo off


(((((((((((((((((((((((((((((((((((((((((((( Step two )))))))))))))))))))))))))))))))))))))))))))))))))))

No devices removed.

(((((((((((((((((((((((((((((((((((\ Deletion of several files /)))))))))))))))))))))))))))))))))))))))))

((((((((((((((((((((((((((((((((((\ Deletion of several regkeys /))))))))))))))))))))))))))))))))))))))))

((((((((((((((((((\ Show files starting with "tds" present after deletion" (XP/Vista) /))))))))))))))))))
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 7811-BD9D

Verzeichnis von c:\windows\Prefetch

23.02.2009 21:14 11.282 TDSBEGONE.EXE-3037A511.pf
1 Datei(en) 11.282 Bytes

Verzeichnis von c:\windows\system32

01.01.1601 01:00 0
01.01.1601 01:00 0
2 Datei(en) 0 Bytes

Verzeichnis von c:\windows\system32\dllcache

02.04.2003 13:00 19.464 tdspx.sys
1 Datei(en) 19.464 Bytes

Verzeichnis von c:\windows\system32\drivers

01.01.1601 01:00 0
1 Datei(en) 0 Bytes

Verzeichnis von c:\windows\Temp

01.01.1601 01:00 0
01.01.1601 01:00 0
2 Datei(en) 0 Bytes

Anzahl der angezeigten Dateien:
7 Datei(en) 30.746 Bytes
0 Verzeichnis(se), 53.747.400.704 Bytes frei

((((((((((((((((\ Show files starting with "tds" present after deletion" (Vista only) /))))))))))))))))))
(((((((((((((((((\ More detailled view to inform about filesize and last change /)))))))))))))))))))

1 Datei(en) kopiert.

#4 Download die von mir umbenannte ComboFix von hier herunter(Anhang) und speichert es auf den Desktop!

Note:Wenn wehrend du Combofix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt ode ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut
Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte 1234567890.exe
Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"


__________
MfG Argus

#5 ComboFix 09-01-21.04 - Besitzer 2009-01-23 21:45:51.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1022.686 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\1234567890.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
AV: Bitdefender Antivirus *On-access scanning enabled* (Updated)
FW: Bitdefender Firewall *enabled*
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\msacm32.drv
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\c_059378.nls
c:\windows\system32\drivers\TDSScahh.sys
c:\windows\system32\TDSSbqcg.log
c:\windows\system32\TDSSbrik.dll
c:\windows\system32\TDSSefrv.dll
c:\windows\system32\TDSSlvul.dat
c:\windows\system32\TDSSnmxh.log
c:\windows\system32\TDSSpshc.dll
c:\windows\system32\TDSSsqxd.dll
c:\windows\system32\TDSSwhbd.dll
c:\windows\system32\TDSSwhkf.log
c:\windows\system32\TDSSybpo.dll
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSSERV.SYS
-------\Legacy_TDSSSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-23 bis 2009-01-23 ))))))))))))))))))))))))))))))
.

2009-10-20 13:39 . 2009-10-20 13:39 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PixelPlanet
2009-10-20 08:41 . 2004-08-26 14:18 1,773,568 --a------ c:\windows\system32\gdiplus.dll
2009-02-23 21:05 . 2009-02-23 21:05 <DIR> d-------- c:\programme\Avira
2009-02-23 21:05 . 2009-02-23 21:05 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-01-23 10:00 . 2009-01-23 10:00 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-01-23 10:00 . 2009-01-08 12:30 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d-------- c:\programme\Lavasoft
2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-01-23 09:59 . 2009-01-23 09:59 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{83C91755-2546-441D-AC40-9A6B4B860800}
2009-01-22 23:15 . 2009-01-22 23:15 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Bitdefender
2009-01-22 23:13 . 2008-08-23 06:46 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-01-22 23:13 . 2008-08-22 23:06 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-01-22 23:13 . 2009-01-22 23:14 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-01-22 23:13 . 2008-08-23 06:52 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-01-22 23:13 . 2008-08-22 23:06 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-01-22 23:13 . 2009-01-22 23:15 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-01-22 23:13 . 2009-01-22 23:13 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-01-22 22:56 . 2009-01-22 22:56 <DIR> d-------- c:\programme\Sophos
2009-01-22 13:54 . 2009-01-22 13:54 <DIR> d-------- c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-23 20:50 81,984 ----a-w c:\windows\system32\bdod.bin
2008-12-27 08:17 --------- d--h--w c:\programme\InstallShield Installation Information
2008-12-13 13:21 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\AdobeUM
2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys
2008-12-10 13:54 38,688 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-11-30 20:47 --------- d-----w c:\programme\Java
2008-11-24 13:24 --------- d-----w c:\programme\Google
2008-11-15 12:32 30 ----a-w c:\dokumente und einstellungen\Besitzer\jagex_runescape_preferences.dat
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 32873]
"BDMCon"="c:\programme\Softwin\BitDefender10\bdmcon.exe" [2008-08-23 290816]
"BDAgent"="c:\programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 69632]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 344064]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SMSERIAL"="sm56hlpr.exe" [2004-12-29 c:\windows\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]
Pinnacle Scheduler.lnk - c:\programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2008-09-04 237568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll
"wave1"= c_059378.nls
"aux1"= c_059378.nls
"wave2"= c_059378.nls
"mixer2"= c_059378.nls
"midi2"= c_059378.nls
"mixer1"= c_059378.nls
"midi1"= c_059378.nls
"aux2"= c_059378.nls
"25059409"= 38453943373038332d393646332d343732412d384238342d464635334343313833363731
"25059398"= 2958442cc23cf2aaf7326c0d58640
"25059428"= 6ef8b27bf3af070064dd571a1159cc
"25059408"= 5f81ecb020198e43dd953b3fa6538c

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-23 64160]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvbi.sys [2008-09-04 6400]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\D27B.tmp --> c:\windows\system32\D27B.tmp [?]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-01-08 915792]
.
Inhalt des "geplante Tasks" Ordners

2009-01-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-08 13:00]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
.

**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\D27B.tmp"
.
Zeit der Fertigstellung: 2009-01-23 21:55:25 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-01-23 20:55:20

Vor Suchlauf: 17 Verzeichnis(se), 53,683,744,768 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 53,728,870,400 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

144 --- E O F --- 2009-01-14 07:07:36


P.S.: Scheint weg zu sein. Danke Argus!

#6 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
VISTA
Öffnen Sie den Explorer und gehen in der oberen linken Ecke auf „Organisieren“.
Wählen Sie den Punkt Ordner und Suchoptionen.
Im Register „Ansicht“ gehen Sie auf
„Versteckte Dateien und Ordner“ und wählen hier, alle Dateien und Ordner anzeigen.
Bestätigen Sie nun mit O.K. um diese Änderung zu übernehmen.

Prüfe mal diese Datei(en) bei Virustotal

Zitat

c:\windows\system32\c_059378.nls

Note: Wenn bei VirusTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste die Daten
Poste nur die URL am Ende(der link oben in der leiste)
__________
MfG Argus

#7 Hallo Argus,

die Datei habe ich an anderer Stelle gefunden:

C:\Qoobox\Quarantine\C\Windows\system32

und sie lautet
c_059378.nls.vir

Ich denke aber das ist die richtige. Hier der Link:

http://www.virustotal.com/de/analisis/b4a5e46421645e452797a0a0dd040eab

#8 Wenn du Onlinebaking machst sollte man sein Rechner neu aufsetzen
und al seine Passworte aendern
Riecht nach "Silentbanker"
http://www.securecomputing.net.au/News/124969,new-version-of-silentbanker-trojan-causes-concern.aspx
__________
MfG Argus

#9 Onlinebanking habe ich abgeschafft. Bin wieder beim guten alten ausfüllen von Überweisungen.

Die einzigen Passwörter sind die von Emailprogrammen und einigen Foren. Mehr ist nicht gespeichert.

Die werde ich ändern.

Danke und Gruß

NYCTramp

#10 Wir sind noch nicht fertig
__________
MfG Argus

#11 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"aux1"=-
"wave2"=-
"mixer2"=-
"midi2"=-
"mixer1"=-
"midi1"=-
"aux2"=-
"25059409"=-
"25059398"=-
"25059428"=-
"25059408"=-

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus