Sie sind hier: Home | Forum | Software | Sicherheit (Viren, Trojaner, Spyware, usw.) | Viren in C:\Windows\system32\ - wer kann helfen ?

Viren in C:\Windows\system32\ - wer kann helfen ?


Alt 26.12.2008, 10:25   # 61
immorb
Gastposter
 
Zitat:
Zitat von SiNnLoS Beitrag anzeigen
danke schonmal
die ersten beiden Punkte haben ohne probleme funktioniert, aber bei dem 3. punkt scheitere ich. ich kann blacklight und malwarebytes antimalware nicht downloaden ... =/ bei malwarebytes antimalware öffnet sich zwar die seite allerdings wenn ich auf "download" klicke passiert nichts...
Starte den PC im abgesicherten Modus Im Menü wählst du aus Abgesicherter Modus mit Netzwerktreibern.

2.) Möglichkeit;lass es einen Bekannten downloaden,das Programm auf einen Datenträger kopieren oder per E-Mail schicken.

m.f.G.
Werbung

  Mit Zitat antworten
Alt 26.12.2008, 12:45   # 62
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort alle Treiber, die mit ADS oder TDS anfangen deaktivieren => Rechner neustarten, nochmal probieren.

Alternativ versuche diese Links:
Blacklight
MbAm


Sollten die Programme sich nicht starten lassen, so benenne sie um, z.B. asdf.com

ciao, andreas
  Mit Zitat antworten
Alt 27.12.2008, 21:13   # 63
SiNnLoS
 
Registriert seit: 25.12.2008
Beiträge: 6
Zitat:
Zitat von IchGoogleAlles Beitrag anzeigen
Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort alle Treiber, die mit ADS oder TDS anfangen deaktivieren => Rechner neustarten, nochmal probieren.

Alternativ versuche diese Links:
Blacklight
MbAm


Sollten die Programme sich nicht starten lassen, so benenne sie um, z.B. asdf.com

ciao, andreas
hallo...
ich hab nun ein großes problem =/ mein pc fährt nicht mehr hoch, ich komm noch nicht einmal mehr in den abgesicherten modus.
ich hab blacklight durchlaufen lassen und es hat nichts gefunden.danach lies ich combofix durchlaufen...es fand etwas und löschte es ,danach sagte es ,das der pc neu starten muss...also startete ich ihn neu. aber seit dem fährt das system nicht mehr hoch. windows versucht mir immer zu helfen und sagt dann aber windows kann diesen fehler nicht beheben...dann kann ich ihn nur neu starten,wozu ich wieder dahin komme...die möglichkeiten in diesem menü sind: systemwiederherstellung,eingabeaufforderung,vaio wiederherstellung ,ein hardware scan und noch welche ,allerdings hab ich mir schon alles angeguckt...die systemwiederherstellung hatte ich ja deaktiviert...der hardware scan findet keinen fehler und die anderen sachen sind sowas wie formatieren/wiederherstellung,außer eingabeaufforderung...allerdings weiß ich nicht wie man dadurch das system starten könnte...

PS: hab windows vista auf meinem pc

bin im moment an einem anderem pc...bitte um möglichst schnelle antwort!
danke im vorraus...

MfG SiNnLoS
  Mit Zitat antworten
Alt 27.12.2008, 21:27   # 64
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Wenn du die Anleitung befolgt hast, solltest du eine Systemwiederherstellungskonsole auf dem Rechner haben. ComboFix erzeugt automatisch einen Systemwiederherstellungspunkt. Der richtige Punkt ist also Systemwiederherstellung.

Wieso hast du überhaupt ComboFix gestartet? Davon habe ich nichts geschrieben.

ciao, andreas
  Mit Zitat antworten
Alt 27.12.2008, 23:11   # 65
SiNnLoS
 
Registriert seit: 25.12.2008
Beiträge: 6
ok,danke für die fixe antwort...

du hattest combofix doch als 3. link aufgeführt...hatte dich wohl falsch verstanden...werd dann mal die systemwiederherstellung ausprobieren...
danke
  Mit Zitat antworten
Alt 27.12.2008, 23:17   # 66
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Lies noch einmal ganz langsam und genau: Viren in C:\Windows\system32\ - wer kann helfen ?

Zur weiteren Analyse benötigen wir die Logs. Ohne die kann dir nicht geholfen werden.

ciao, andreas
  Mit Zitat antworten
Alt 27.12.2008, 23:25   # 67
SiNnLoS
 
Registriert seit: 25.12.2008
Beiträge: 6
systemwiederherstellung klappt nicht,der pc sagt ich hab keinen wiederherstellungspunkt...und das andere mir durchzulesen bringt mir nciht viel...weil ich im moment den pc nicht mal hoch gefahren bekomme... =/
ich kann noch nicht mals in den abgesichtern modus,weil er automatisch immer neustartet =/
  Mit Zitat antworten
Alt 27.12.2008, 23:40   # 68
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Hast du die Vista-DVD?

Vista DVD einlegen => Setup starten => Sprache auswählen => Computerreparaturoptionen auswählen

ciao, andreas

p.s.: Systemwiederherstellung mit der Vista-Installations DVD - Paules-PC-Forum.de
  Mit Zitat antworten
Alt 28.12.2008, 19:16   # 69
SiNnLoS
 
Registriert seit: 25.12.2008
Beiträge: 6
ich hab leider keine vista cd...hab extra nochmal nachgeguckt.
ansonsten kann mir niemand helfen? :x
  Mit Zitat antworten
Alt 28.12.2008, 19:29   # 70
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Jemandem helfen, der Anweisungen nicht befolgt und wie ein Wilder irgendwelche Programme startet?

Quelle: http://forum.hijackthis.de/showpost....45&postcount=2

Zitat:
Wenn Du die Anweisungen nicht 100% befolgt hast, erwarte von uns auch keine Antwort!
Wenn Du mal nicht weiter weißt, bitte nachfragen und/oder darauf aufmerksam machen,
dass Du Hilfe brauchst, oder eine Antwort erwartest.

Solange die Reinigungsarbeiten noch nicht abgeschlossen sind, ist die Installation von neuen Programmen
nicht erwünscht (außer die Nutzung der von uns empfohlenen Programme/Tools etc.)!!!
Du bist der Erste, der bei mir auf der Ignoreliste ist. Gratulation. Nomen est Omen. Bei dir stimmt es.

ciao, andreas
  Mit Zitat antworten
Alt 04.01.2009, 01:48   # 71
jak20
 
Registriert seit: 04.01.2009
Ort: Nähe Chemnitz
Beiträge: 16
Hallo Leute.

Hab seit ca. einer Woche das selbe Problem wie die anderen. Glaube ich zumindestens. Hab dann bissl gegoogelt und bin hier gelandet. Hab mich grade erst angemeldet. Konnte daher auch noch keine Link von euch nutzen.

Muss auch leider zugeben das ich null Ahnung hab von Rechnern.

-----Doppelpost zusammengeführt am 4.1.2009 um 00:48:17-----

Hab grade mal Spybot scannen lassen. Kennt das Programm jemand?

Und das kam bei raus abload.de - Bilderupload
  Mit Zitat antworten
Alt 04.01.2009, 10:33   # 72
FreewareGuide
Moderator
 
Benutzerbild von FreewareGuide
 
Registriert seit: 31.10.2002
Ort: Oldenburg
Beiträge: 5.346
Moin,

Virtumonde solltest Du in jedem Fall speziell entfernen lassen. (Die "tracking cookies" sind zwar unangenehm, aber höchstens um Werbung speziell auf Dich zuzuschneiden, gefährlich sind sie im Endeffekt nicht.) Ich weiß nicht, wie gründlich Spybot bei der Entfernung ist, aber auch Anti-Virus-Softwareanbieter bieten spezielle Reiniger an wie z.B. Symantec/Norton.

Danach (inkl. Neustart) könntest Du mal mit HijackThis ein Log erstellen und den Text hier zur weiteren Begutachtung posten.

Grüße,
Thorsten
__________________
...bin letztens durch die Aufnahmeprüfung zur Hellseherschule gekracht! smiley crystal ball
  Mit Zitat antworten
Alt 04.01.2009, 18:08   # 73
USMC_Predator
 
Benutzerbild von USMC_Predator
 
Registriert seit: 27.12.2008
Beiträge: 100
Hi,
wie schon oft erwähnt:
Hijack(This)
den logfile kann man ganz einfach im internet auswerten lassen oder hier Posten
ist nich unbedingt immer die Lösung aber SEHR oft
  Mit Zitat antworten
Alt 04.01.2009, 18:52   # 74
jak20
 
Registriert seit: 04.01.2009
Ort: Nähe Chemnitz
Beiträge: 16
Hab das mal benutzt, hoffe auch richtig.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:16, on 04.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\dokumente und einstellungen\jak\lokale einstellungen\anwendungsdaten\kiigm.exe
C:\Programme\Bo-Shot\Bo-Shot.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\winscenter.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ProSieben.de - WE LOVE TO ENTERTAIN YOU
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [kiigm] "c:\dokumente und einstellungen\jak\lokale einstellungen\anwendungsdaten\kiigm.exe" kiigm
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll yxsswf.dll
O21 - SSODL: ieModule - {3E82C597-3BF1-4D53-913D-4DEB7F19AFCA} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll (file missing)
O21 - SSODL: InternetConnection - {D3EB614C-C89E-4781-8138-9E5E5CAEDDCB} - C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\Internet Explorer\DLLs\vawpmnmhpp.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Programme\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
  Mit Zitat antworten
Alt 04.01.2009, 20:07   # 75
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Das ist ja ein ganzer Zoo von Schädlingen.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\WINDOWS\system32\winscenter.exe
c:\dokumente und einstellungen\jak\lokale einstellungen\anwendungsdaten\kiigm.exe
C:\WINDOWS\System32\shdocvw.dll
C:\WINDOWS\System32\yxsswf.dll
C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\Internet Explorer\DLLs\ieModule.dll
C:\Dokumente und Einstellungen\All Users\Application Data\Microsoft\Internet Explorer\DLLs\vawpmnmhpp.dll
Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann trotzdem auf Analysieren klicken.

ciao, andreas
  Mit Zitat antworten
Alt 04.01.2009, 22:51   # 76
jak20
 
Registriert seit: 04.01.2009
Ort: Nähe Chemnitz
Beiträge: 16
Hab die Ordneroption mal so eigestellt wie du beschrieben hast. Nur jetzt kommt das nächste Problem. Suchfunktion geht nich mehr.
  Mit Zitat antworten
Alt 04.01.2009, 23:56   # 77
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
Bei dem Befall wundert mich, das überhaupt noch etwas funktioniert.

Markiere hier eine Zeile, [Strg]c, wechsel das Fenster/den Tab, klicke in das Feld bei Virustotal, [Strg]v

ciao, andreas
  Mit Zitat antworten
Alt 05.01.2009, 00:52   # 78
jak20
 
Registriert seit: 04.01.2009
Ort: Nähe Chemnitz
Beiträge: 16
So hab das mal gemacht. Das 5. ging nicht.
Ich hoffe hab das alles richtig gemacht


1.
a-squared 4.0.0.73 2009.01.04 Rootkit.Win32.TDSS!IK
AhnLab-V3 2008.12.31.0 2009.01.04 -
AntiVir 7.9.0.45 2009.01.04 SPR/Tool.Obfuscator.DT.346
Authentium 5.1.0.4 2009.01.04 -
Avast 4.8.1281.0 2009.01.04 Win32:Rootkit-gen
AVG 8.0.0.199 2009.01.04 Generic12.AMCJ
BitDefender 7.2 2009.01.04 Packer.Malware.NSAnti.DA
CAT-QuickHeal 10.00 2009.01.03 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.01.04 -
Comodo 874 2009.01.04 -
DrWeb 4.44.0.09170 2009.01.04 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.04 -
F-Secure 8.0.14470.0 2009.01.04 -
Fortinet 3.117.0.0 2009.01.04 -
GData 19 2009.01.04 Packer.Malware.NSAnti.DA
Ikarus T3.1.1.45.0 2009.01.03 Rootkit.Win32.TDSS
K7AntiVirus 7.10.575 2009.01.03 -
Kaspersky 7.0.0.125 2009.01.04 -
McAfee 5484 2009.01.04 DNSChanger.f.gen.a
McAfee+Artemis 5484 2009.01.04 DNSChanger.f.gen.a
Microsoft 1.4205 2009.01.04 Trojan:Win32/FakeSpyguard
NOD32 3735 2009.01.04 Win32/Adware.SpywareGuard
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.04 Adware/SpywareGuard2008
PCTools 4.4.2.0 2009.01.04 -
Prevx1 V2 2009.01.04 Malicious Software
Rising 21.10.62.00 2009.01.04 -
SecureWeb-Gateway 6.7.6 2009.01.04 Riskware.Tool.Obfuscator.DT.346
Sophos 4.37.0 2009.01.04 Mal/FakeVirPk-A
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.04 SpywareGuard2008
TheHacker 6.3.1.4.204 2009.01.02 -
TrendMicro 8.700.0.1004 2009.01.04 TROJ_FAKEAV.ETA
VBA32 3.12.8.10 2009.01.04 -
ViRobot 2009.1.3.1541 2009.01.03 -
VirusBuster 4.5.11.0 2009.01.04 -
weitere Informationen
File size: 384000 bytes
MD5...: dbfba1bb7588f0b01e351ec280eb8ae2
SHA1..: d1d4acf7cd592f5cab245dc123743eafe4b4a10f
SHA256: b40a9e73b6dbb4d0c6c7ec13b86bbcf246c54407c24e7615b6 742420c073845b
SHA512: 09cb86822510a2cfde4593bfafe0971fba0f800ec9ba74f7b4 c697d7684d01a0
386dc9159b8d11d08330505c9c922baaad9ea50c9c87da486f 13f60a8b9e6edb
ssdeep: 6144:2TEmwi5QwJTDm3rEwQxFoHzRkMQJIayS0hZ47IiqUZclY 33uYb:YE+JTMEL
xFoTGaZ5KZcSu
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401afa
timedatestamp.....: 0x4954a809 (Fri Dec 26 09:46:49 200
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
text 0x1000 0xff000 0x1200 5.19 a6e6d2aee02d036123c06109d3c2ab90
rdata 0x100000 0x59000 0x57600 8.00 e1a0ab7dfeb8740fa724fd46fd949be6
idata 0x159000 0xfa8 0x600 1.94 4f9a1d89a37f06ff4cf7f2313ecda706
.rsrc 0x15a000 0x5000 0x4a00 3.91 6b2dc44a891e8bf60127b974fafc09f2

( 1 imports )
> kernel32.dll: OpenSemaphoreA, _lcreat, CreateMailslotA, TransmitCommChar, LocalCompact, SetConsoleTextAttribute, SetTimeZoneInformation, CreateDirectoryExA, UnregisterWait, WaitCommEvent, LeaveCriticalSection, GetConsoleTitleA, GetCommandLineA, ExitProcess, GetStartupInfoA

( 0 exports )
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dbfba1bb7588f0b01e351ec280eb8ae2' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=dbfba1bb7588f0b01e351ec280eb8ae2</a>
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=664BC65200329F1BDCED053B3 C2E070042C9BE4D' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=664BC65200329F1BDCED053B3 C2E070042C9BE4D</a>


2.
a-squared 4.0.0.73 2009.01.04 -
AhnLab-V3 2008.12.31.0 2009.01.04 -
AntiVir 7.9.0.45 2009.01.04 -
Authentium 5.1.0.4 2009.01.04 -
Avast 4.8.1281.0 2009.01.04 -
AVG 8.0.0.199 2009.01.04 -
BitDefender 7.2 2009.01.04 -
CAT-QuickHeal 10.00 2009.01.03 -
ClamAV 0.94.1 2009.01.04 -
Comodo 874 2009.01.04 -
DrWeb 4.44.0.09170 2009.01.04 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.04 -
F-Secure 8.0.14470.0 2009.01.04 -
Fortinet 3.117.0.0 2009.01.04 -
GData 19 2009.01.04 -
Ikarus T3.1.1.45.0 2009.01.03 -
K7AntiVirus 7.10.575 2009.01.03 -
Kaspersky 7.0.0.125 2009.01.04 -
McAfee 5484 2009.01.04 -
McAfee+Artemis 5484 2009.01.04 -
Microsoft 1.4205 2009.01.04 -
NOD32 3735 2009.01.04 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.04 -
PCTools 4.4.2.0 2009.01.04 -
Prevx1 V2 2009.01.04 Fraudulent Security Program
Rising 21.10.62.00 2009.01.04 -
SecureWeb-Gateway 6.7.6 2009.01.04 -
Sophos 4.37.0 2009.01.04 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.04 -
TheHacker 6.3.1.4.204 2009.01.02 -
TrendMicro 8.700.0.1004 2009.01.04 -
VBA32 3.12.8.10 2009.01.04 -
ViRobot 2009.1.3.1541 2009.01.03 -
VirusBuster 4.5.11.0 2009.01.04 -
weitere Informationen
File size: 225280 bytes
MD5...: 8b4af5355d29cc2e6bb8f4c176c08c99
SHA1..: 502aa54617653d7bc0d6b0d9d199478f74496bae
SHA256: eb79fe60f40a7df8cb6c6b82046630ac35b329c130af170890 ce953125e6af7d
SHA512: 7647cc99647d186f0b6bcd89cd09cb2f21437185a5b190e249 4e245f2169a824
19c70caebaa77d51d6553a843c5223bd6e1ca99e133d192388 070463a28a8810
ssdeep: 6144:vjApYm4htKF9NvvY3qJofghWNBf5Z6YM:vjApnakZ8r5Z 6B
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x430b50
timedatestamp.....: 0x42b5351d (Sun Jun 19 09:04:29 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2fcdc 0x30000 7.44 e4e9bcb929e9a9f60b42d93f9f44d1a9
.rdata 0x31000 0x10ac 0x2000 3.50 5d193e55b90232be3d0deec4a6279420
.data 0x33000 0x3b3c 0x4000 5.37 da5387c02a93e4175b662c4589fe598d

( 9 imports )
> WS2_32.dll: WSAGetServiceClassInfoA, WSAJoinLeaf, -, -, -, -, -, WSAWaitForMultipleEvents, -, WSASetEvent, -, WSAHtonl, -, -, WSAStringToAddressW
> SHELL32.dll: SHGetSpecialFolderPathA
> USER32.dll: MessageBoxExA, UnregisterClassW, GetDlgCtrlID, GetDlgItemTextW, InflateRect, LockWindowUpdate, BeginPaint, SetWindowTextA, RemovePropW, GetKeyboardState, ShowCaret, ScrollWindowEx, ChangeDisplaySettingsA, GetWindowInfo, GetTopWindow, TabbedTextOutA, LoadIconA, IsWindowUnicode, mouse_event, BeginDeferWindowPos, AppendMenuW, InvertRect
> GDI32.dll: CreateDIBSection, GetCharWidthW, GetViewportExtEx, SaveDC, SetMapMode, GetCurrentObject, CreateBitmapIndirect, EnumFontFamiliesExA, SetDIBColorTable, IntersectClipRect, CreateBitmap, SetDIBitsToDevice
> KERNEL32.dll: GetLocaleInfoW, QueryDosDeviceA, EraseTape, GlobalFindAtomW, GetModuleHandleA, GetStartupInfoA, GetTempPathW, VirtualAlloc, lstrlenA, GetFullPathNameA, SetNamedPipeHandleState, FreeResource, SwitchToFiber, GlobalAddAtomW, ExitProcess, GetLargestConsoleWindowSize, ExitThread, CreateIoCompletionPort, GetCurrentProcessId, GetTickCount, FlushFileBuffers, SetProcessShutdownParameters, SetConsoleOutputCP, WriteFile, LocalLock, GetEnvironmentStringsW, PulseEvent, CreateDirectoryExA, SetProcessWorkingSetSize
> COMCTL32.dll: ImageList_Merge, ImageList_GetImageCount, _TrackMouseEvent
> ADVAPI32.dll: EnumServicesStatusA, StartServiceA, GetFileSecurityA, GetFileSecurityW, SetSecurityInfo, SetThreadToken, InitiateSystemShutdownA, GetTokenInformation, EqualSid, RegDeleteValueW, IsValidSid, RegCloseKey, GetNamedSecurityInfoA, GetUserNameA, RegOpenKeyA, GetSidLengthRequired, CopySid, MakeAbsoluteSD, RegNotifyChangeKeyValue, RegSaveKeyA, SetFileSecurityA, RegEnumValueW, InitializeSecurityDescriptor, RegSetKeySecurity, ObjectCloseAuditAlarmW, GetServiceDisplayNameW, RegConnectRegistryW, CryptGetHashParam
> comdlg32.dll: GetOpenFileNameA, ChooseFontA
> MSVCRT.dll: fwscanf, iswctype, _wcsnset, toupper, _stricmp, _pipe, vprintf, _splitpath, vfprintf, _wsystem, iswcntrl, isalpha, wctomb, isalnum, _mbctolower, _fcvt, tolower, _wsetlocale, _vsnwprintf, _strlwr, wcscoll, _mbsnextc, _putenv, setlocale, _close, _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _mbsstr, _strtime, putc, tmpnam, _mbsrchr, _mkdir, _memicmp, _tempnam, clock, _endthread, freopen, strftime, _beginthread, signal

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=5187091D00212C3870AF0336F 6E8F1006CAF9ECC' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=5187091D00212C3870AF0336F 6E8F1006CAF9ECC</a>


3.
Das hatte 0%


4.
a-squared 4.0.0.73 2009.01.04 Trojan.Vundo!IK
AhnLab-V3 2008.12.31.0 2009.01.04 -
AntiVir 7.9.0.45 2009.01.04 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2009.01.04 -
Avast 4.8.1281.0 2009.01.04 Win32:Rootkit-gen
AVG 8.0.0.199 2009.01.04 -
BitDefender 7.2 2009.01.04 -
CAT-QuickHeal 10.00 2009.01.03 -
ClamAV 0.94.1 2009.01.04 -
Comodo 874 2009.01.04 -
DrWeb 4.44.0.09170 2009.01.04 -
eTrust-Vet 31.6.6289 2009.01.02 Win32/VundoCryptorE
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.04 -
F-Secure 8.0.14470.0 2009.01.04 -
Fortinet 3.117.0.0 2009.01.04 -
GData 19 2009.01.04 Win32:Rootkit-gen
Ikarus T3.1.1.45.0 2009.01.03 Trojan.Vundo
K7AntiVirus 7.10.575 2009.01.03 -
Kaspersky 7.0.0.125 2009.01.04 -
McAfee 5484 2009.01.04 -
McAfee+Artemis 5484 2009.01.04 Generic!Artemis
Microsoft 1.4205 2009.01.04 Trojan:Win32/Conhook.D
NOD32 3735 2009.01.04 -
Norman 5.80.02 2009.01.02 W32/Virtumonde.AIYA
Panda 9.0.0.4 2009.01.04 -
PCTools 4.4.2.0 2009.01.04 -
Prevx1 V2 2009.01.04 Malicious Software
Rising 21.10.62.00 2009.01.04 Trojan.Win32.VUNDO.cgm
SecureWeb-Gateway 6.7.6 2009.01.04 Trojan.Crypt.XPACK.Gen
Sophos 4.37.0 2009.01.04 SuperJuan
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.04 Trojan.Vundo
TheHacker 6.3.1.4.204 2009.01.02 -
TrendMicro 8.700.0.1004 2009.01.04 -
ViRobot 2009.1.3.1541 2009.01.03 -
VirusBuster 4.5.11.0 2009.01.04 -
weitere Informationen
File size: 133120 bytes
MD5...: 2714690395227b0e54bbd2383d9ea720
SHA1..: a038fbbb2612a8bca24461f58e66dea63183dee5
SHA256: a1bff4daf31d312587c9d73d3c32da008135b08001c4a0e18b 0f880124e48ea1
SHA512: 179060ec7bcc0cc5ff7daf11c879d6fc9511f1f11be7d0f5e3 acbd88389d5a1a
ec17b013de3bbde510c625796dbbd705ffc641d2eca5452916 bb7ed96c84283b
ssdeep: 3072:caU8gp/YdZ4UCEfeL6jwp3Yfupeu5MDJFc5q49Nc8eAd5AgjooutLd:rU 8C
AdTnkYGpeuaJFcw43eY5AgjooS
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1003df20
timedatestamp.....: 0x4904725b (Sun Oct 26 13:36:27 200
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x1e000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x1f000 0x20000 0x1fc00 7.99 d0b0366f5cbce7b1b1b8160ff2c459dc
.rsrc 0x3f000 0x1000 0x800 2.96 4a3e058bda5cb1c0ec904fcb0121d3e6

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree
> advapi32.dll: RegLoadKeyA
> user32.dll: GetMessageA

( 2 exports )
fwor, nieb
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=FFA10FD2004BD9D308D202508 E341800347A8CB2' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=FFA10FD2004BD9D308D202508 E341800347A8CB2</a>
packers (Kaspersky): UPX
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2714690395227b0e54bbd2383d9ea720' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2714690395227b0e54bbd2383d9ea720</a>
packers (F-Prot): UPX_LZMA


6.
a-squared 4.0.0.73 2009.01.04 Rootkit.Win32.TDSS!IK
AhnLab-V3 2008.12.31.0 2009.01.04 -
AntiVir 7.9.0.45 2009.01.04 SPR/Tool.Obfuscator.DT.342
Authentium 5.1.0.4 2009.01.04 -
Avast 4.8.1281.0 2009.01.04 Win32:Fasec
AVG 8.0.0.199 2009.01.04 Win32/Heur
BitDefender 7.2 2009.01.04 Application.Tool.2715
CAT-QuickHeal 10.00 2009.01.03 -
ClamAV 0.94.1 2009.01.04 -
Comodo 874 2009.01.04 -
DrWeb 4.44.0.09170 2009.01.04 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.04 -
F-Secure 8.0.14470.0 2009.01.04 -
Fortinet 3.117.0.0 2009.01.04 -
GData 19 2009.01.04 Application.Tool.2715
Ikarus T3.1.1.45.0 2009.01.03 Rootkit.Win32.TDSS
K7AntiVirus 7.10.575 2009.01.03 -
Kaspersky 7.0.0.125 2009.01.04 -
McAfee 5484 2009.01.04 -
McAfee+Artemis 5484 2009.01.04 -
Microsoft 1.4205 2009.01.04 VirTool:Win32/Obfuscator.DV
NOD32 3735 2009.01.04 Win32/Kryptik.DR
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.04 Adware/SpywareGuard2008
PCTools 4.4.2.0 2009.01.04 -
Prevx1 V2 2009.01.04 Malicious Software
Rising 21.10.62.00 2009.01.04 Trojan.Win32.FakeAV.ej
SecureWeb-Gateway 6.7.6 2009.01.04 Riskware.Tool.Obfuscator.DT.342
Sophos 4.37.0 2009.01.04 Mal/FakeVirPk-A
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.04 -
TheHacker 6.3.1.4.204 2009.01.02 -
TrendMicro 8.700.0.1004 2009.01.04 TROJ_AGENT.DZDA
VBA32 3.12.8.10 2009.01.04 -
ViRobot 2009.1.3.1541 2009.01.03 -
VirusBuster 4.5.11.0 2009.01.04 -
weitere Informationen
File size: 766976 bytes
MD5...: ac562fb5686c062ee027ea1ac677d52d
SHA1..: 206e8d38e7487aa0451829021748570ae50a7cd2
SHA256: 0cc651133a7fb2be87acd034c8ce359e20c5a8aa32b1faa680 ff278eb531a7d0
SHA512: 6da57cde708474fa50ecec9117a315b0055a2d50db2fac410d c82da0928a026d
db7e4d9195bc1cf6ccffa23fcf775a5249360d5997410fd6da 576193a3cbef3f
ssdeep: 12288:WkyUS5hFASKFNtjdeiMq2ofeAVh2w7TVBDUGh/kKnJJ6ZXXTNwTBB495b5
mptF:1yUohFf2vjdeiM7ofpVT75jp/GqNy9pM
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (58.3%)
Win16/32 Executable Delphi generic (14.1%)
Generic Win/DOS Executable (13.7%)
DOS Executable Generic (13.6%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401ac8
timedatestamp.....: 0x4954a80b (Fri Dec 26 09:46:51 200
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
text 0x1000 0xfb000 0x1200 5.25 d5d50a2d9f1c7429bd73b95b930b116b
rdata 0xfc000 0xba000 0xb8c00 8.00 bb3956a50333b27d1da87dec97af60bc
idata 0x1b6000 0xc 0x600 1.25 e969837665bdfd7b33caec2cc86d0eaa
.rsrc 0x1b7000 0x1000 0xc00 2.11 3488128ecd60ad7487fa4e50b81d5774

( 1 imports )
> kernel32.dll: SetConsolePalette, UnregisterWait, ExitProcess, GetProcessIoCounters, LoadResource, SetConsoleMenuClose, lstrcpynA, GetCommandLineA, ExitProcess, GetStartupInfoA

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=31A2523400329F1BB4ED0B3B3 C2E07006B54157C' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=31A2523400329F1BB4ED0B3B3 C2E07006B54157C</a>
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ac562fb5686c062ee027ea1ac677d52d' target='_blank'>http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=ac562fb5686c062ee027ea1ac677d52d</a>
  Mit Zitat antworten
Alt 05.01.2009, 17:50   # 79
IchGoogleAlles
 
Registriert seit: 30.07.2007
Ort: Deutschlands größter Golfplatz
Beiträge: 920
0. Start => Ausführen => devmgmt.msc eingeben und [Enter] drücken
Menüzeile: Ansicht => Ausgeblendete Geräte anzeigen => Nicht-PNP-Treiber
Dort alle Treiber, die mit ADS oder TDS (vermutlich ist es TDSSserv.sys) anfangen deaktivieren => Rechner neustarten, nochmal probieren.

1. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

2. Lade LopSD auf den Desktop,
Doppelklick um es zu starten, Tippe D (Deutsch), [Enter] und tippe 2.
Poste anschliessend die Datei LopR.txt

3. Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

4. SuperAntiSpyware runterladen, starten und Log posten

5. Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe

ciao, andreas
  Mit Zitat antworten
Alt 05.01.2009, 21:54   # 80
vazovaz
 
Registriert seit: 05.01.2009
Beiträge: 2
hi leute bin neu hier in dem forum
ich hab folgendes problem: hab meinen pc angemacht und seit dem erhalt ich im sekundentakt die fehlermeldung von meinem antivir dass das trojanische pferd TR/Monder.ahax in dem Verzeichnis WINDOWS/system32/ssttq.dll gefunden wurde und ich kann das ding weder löschen noch ignorieren oder sonstwas...kann mir jemand sagen was ich machen soll weil ich selbst die sachen die schon vorher hier standen nicht verstehe...wäre nett wenns so schnell wie möglich ginge und wenns eine andere möglichkeit gäbe als zu formatieren...
danke im voraus
vazovaz
  Mit Zitat antworten
Kontakt - www.netzwelt.de - Archiv - Nach oben