Rootkit (RKIT/TDss.G.22) macht Ärger!

Diskutiere Rootkit (RKIT/TDss.G.22) macht Ärger! im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hi, Ich bin neu im Board. Vielleicht kann mir hier ja jemand bei meinem problem helfen. Folgendes: In letzter Zeit wurde ich grundsätzlich beim...

  1. #1 dr.radiaki, 01.12.2008
    dr.radiaki

    dr.radiaki Neuer Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    2
    Zustimmungen:
    0
    Hi,
    Ich bin neu im Board. Vielleicht kann mir hier ja jemand bei meinem problem helfen. Folgendes:
    In letzter Zeit wurde ich grundsätzlich beim anklciken auf google suchergebnisse auf irgendwelche werbeseiten umgelenkt.
    Ausserdem bekomm ich ca. alle 30 minuten ne fehlermeldung, dass ein prozess namens "google installer.exe" nicht mehr reagiert und beendet werden muss, obwohl ich keine google software installiert hab.
    Und seit heute schmiert auch noch der pc in unregelmäßigen abständen ab, so dass sich noch nicht mal mehr der cursor bewegen lässt.
    Ab und zu bootet das system auch direkt mal im laufenden betrieb unangekündigt neu. nungut, ich hab dann mal avira antivir laufen lassen.
    das programm hat auch einiges an malware gefunden und gelöscht - ist aber nicht im stande gewisse übriggebliebene rootkits zu entfernen.
    Antivir bietet mir immer wieder an, die rootkits zu löschen und verbindet das ganze mit system neustarts. wenn ich dann allerdings antivir nach dem reboot nochmal durchlaufen lasse, sind die gleichen rootkits nach wie vor vorhanden.
    Ich poste einfach mal den report von antivir, der mir 5 rootkits meldet und darunter den report von hijackthis.
    Schonmal im vorraus vielen dank an jeden der sich die mühe macht, mir zu helfen!!


    ---------------------------------------------------------------------------------------
    Avira AntiVir Personal
    Erstellungsdatum der Reportdatei: Montag, 1. Dezember 2008 22:22

    Es wird nach 1064570 Virenstämmen gesucht.

    Lizenznehmer: Avira AntiVir PersonalEdition Classic
    Seriennummer: 0000149996-ADJIE-0001
    Plattform: Windows XP
    Windowsversion: (Service Pack 3) [5.1.2600]
    Boot Modus: Normal gebootet
    Benutzername: SYSTEM
    Computername: MUGAWE

    Versionsinformationen:
    BUILD.DAT : 8.2.0.336 16933 Bytes 30.10.2008 11:40:00
    AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
    AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
    LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
    LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
    ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 17:29:49
    ANTIVIR1.VDF : 7.1.0.56 411136 Bytes 09.11.2008 21:54:21
    ANTIVIR2.VDF : 7.1.0.160 571392 Bytes 30.11.2008 23:33:12
    ANTIVIR3.VDF : 7.1.0.170 62464 Bytes 01.12.2008 20:08:01
    Engineversion : 8.2.0.36
    AEVDF.DLL : 8.1.0.6 102772 Bytes 06.11.2008 17:29:59
    AESCRIPT.DLL : 8.1.1.15 332156 Bytes 11.11.2008 21:54:23
    AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 17:23:47
    AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 17:29:57
    AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 21:54:23
    AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 17:23:46
    AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 17:23:46
    AEHELP.DLL : 8.1.2.0 119159 Bytes 20.11.2008 16:08:59
    AEGEN.DLL : 8.1.1.6 323955 Bytes 28.11.2008 23:32:59
    AEEMU.DLL : 8.1.0.9 393588 Bytes 06.11.2008 17:29:53
    AECORE.DLL : 8.1.5.2 172405 Bytes 28.11.2008 23:32:58
    AEBB.DLL : 8.1.0.3 53618 Bytes 06.11.2008 17:29:51
    AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
    AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
    AVREP.DLL : 8.0.0.2 98344 Bytes 21.08.2008 12:53:05
    AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
    AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
    AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
    SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
    SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
    NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
    RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
    RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

    Konfiguration für den aktuellen Suchlauf:
    Job Name.........................: Vollständige Systemprüfung
    Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
    Protokollierung..................: niedrig
    Primäre Aktion...................: interaktiv
    Sekundäre Aktion.................: löschen
    Durchsuche Masterbootsektoren....: ein
    Durchsuche Bootsektoren..........: ein
    Bootsektoren.....................: C:, D:,
    Durchsuche aktive Programme......: ein
    Durchsuche Registrierung.........: ein
    Suche nach Rootkits..............: ein
    Datei Suchmodus..................: Intelligente Dateiauswahl
    Durchsuche Archive...............: aus
    Makrovirenheuristik..............: ein
    Dateiheuristik...................: mittel

    Beginn des Suchlaufs: Montag, 1. Dezember 2008 22:22

    Der Suchlauf nach versteckten Objekten wird begonnen.
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000007.dll
    [0] Archivtyp: HIDDEN
    [INFO] Die Datei ist nicht sichtbar.
    --> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000007.dll
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.JW
    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000009.sys
    [0] Archivtyp: HIDDEN
    [INFO] Die Datei ist nicht sichtbar.
    --> FIL\\\?\C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\TEMP\AVSCAN-20081201-222217-11D330AD\AVSCAN-00000009.sys
    [FUND] Enthält Erkennungsmuster des Rootkits RKIT/TDss.G.22
    Die Reparaturanweisungen wurden in die Datei 'C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\AVSCAN-20081201-222415-2B2585EF.avp' geschrieben.
    c:\windows\system32\drivers\tdssmxfe.sys
    [FUND]
    [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49a75663.qua' verschoben!
    c:\windows\system32\tdssarxx.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.adb
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    c:\windows\system32\tdssdxgp.dll
    [INFO] Die Datei ist nicht sichtbar.
    c:\windows\system32\tdsskkao.log
    [INFO] Die Datei ist nicht sichtbar.
    c:\windows\system32\tdssmtpe.dat
    [INFO] Die Datei ist nicht sichtbar.
    c:\windows\system32\tdssnpur.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.KD
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    c:\windows\system32\tdssoitu.dll
    [FUND]
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!
    c:\windows\system32\tdssyoqu.dll
    [INFO] Die Datei ist nicht sichtbar.
    [FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/TDSS.acs
    [INFO] Es konnte kein SpecVir-Eintrag gefunden werden!


    Ende des Suchlaufs: Montag, 1. Dezember 2008 22:24
    Benötigte Zeit: 02:03 Minute(n)

    Der Suchlauf wurde vollständig durchgeführt.

    0 Verzeichnisse wurden überprüft
    8 Dateien wurden geprüft
    5 Viren bzw. unerwünschte Programme wurden gefunden
    0 Dateien wurden als verdächtig eingestuft
    0 Dateien wurden gelöscht
    0 Viren bzw. unerwünschte Programme wurden repariert
    1 Dateien wurden in die Quarantäne verschoben
    0 Dateien wurden umbenannt
    0 Dateien konnten nicht durchsucht werden
    3 Dateien ohne Befall
    0 Archive wurden durchsucht
    0 Warnungen
    1 Hinweise
    46567 Objekte wurden beim Rootkitscan durchsucht
    18 Versteckte Objekte wurden gefunden



    ---------------------------------------------------------------------------------------
    Logfile of HijackThis v1.99.1
    Scan saved at 23:09:22, on 01.12.2008
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Dropbox\Dropbox.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\QIP\qip.exe
    C:\WINDOWS\system32\notepad.exe
    C:\DOKUME~1\brandl\LOKALE~1\Temp\csrssc.exe
    D:\downloads\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://pennergame.de/change_please/8998138/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: C:\WINDOWS\system32\jhsrf832jbnefe.dll - {D5BF49A2-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\jhsrf832jbnefe.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\brandl\LOKALE~1\Temp\csrssc.exe
    O4 - HKCU\..\Run: [xsjfn83jkemfofght] C:\DOKUME~1\brandl\LOKALE~1\Temp\winloggn.exe
    O4 - Startup: Dropbox.lnk = C:\Programme\Dropbox\Dropbox.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1224100179859
    O17 - HKLM\System\CCS\Services\Tcpip\..\{05ABC7DF-B5B8-4CCB-88D3-7B6ED718FA04}: NameServer = 192.168.1.1
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A37669CB-BBB5-4562-B6D7-66E0A928D3FD}: NameServer = 213.191.74.11 213.191.92.82
    O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 02.12.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aloha,

    ich möchte dich zwar nicht schockieren aber eine Reinigung des Systems ist nicht mehr sinnvoll. Ich kann dir nur zum Neuaufsetzen raten. Eventuell könnte eine Systemwiederherstellung noch helfen. Allerdings nisten sich Schadprogramme in die Systemwiederherstellung ein und manipulieren diese.

    Formatiere das Systemlaufwerk und installiere das BS neu. Dann kannst du wieder besser schlafen.

    Rootkits verändern deine System, laden weitere Schadprogramme nach und spähen deine persönlichen Daten aus.

    Ändere schleunigst deine Passwörter und unterlasse es online banking oder ähnliche Dinge auszuführen.

    Sorry, aber ich sehe keine sinnvolle Möglichkeit der Bereinigung. Wenn überhaupt wirst du das System nur scheinbar bereinigen können. Allerdings lauern die Schadprogramme noch versteckt auf deinen System oder haben diverse Türen für ein neuen Angriff geöffnet.

    Gruss Leonixx
     
  4. #3 dr.radiaki, 02.12.2008
    dr.radiaki

    dr.radiaki Neuer Benutzer

    Dabei seit:
    01.12.2008
    Beiträge:
    2
    Zustimmungen:
    0
    Ok vielen dank für die infos, Leonixx!

    Ich werd mich dann mal ans werk machn und windows neu aufsetzen. :(

    ps: ich hab grad mal probiert, malwarebytes antimalware zu installiern aber das rootkit scheint die installation abzublocken.
     
Thema: Rootkit (RKIT/TDss.G.22) macht Ärger!
Besucher kamen mit folgenden Suchen
  1. rkit/tdss.akkf

    ,
  2. Rootkit TDss G (B)

    ,
  3. rkit/tdss.b

Die Seite wird geladen...

Rootkit (RKIT/TDss.G.22) macht Ärger! - Ähnliche Themen

  1. Mein PC macht immer wieder ein Neustart

    Mein PC macht immer wieder ein Neustart: Hallo mein PC (Windows 10 64bit) fährt nicht richtig herunter. Kurz bevor er runtergefahren ist geht er wieder an. Also macht sozusagen ein...
  2. CPU macht schlapp

    CPU macht schlapp: Hi, in letzter Zeit hat mein CPU ein paar Schwierigkeiten. Bei normaler Nutzung war bis vor einer Woche alles in Ordnung. Auf einmal stieg die CPU...
  3. Graka GTX 1060 Macht Probleme :O

    Graka GTX 1060 Macht Probleme :O: Hallo liebes Board, ich hab mir vor ein paar Tagen ne neue Grafikkarte gekauft und leider macht die ein paar Probleme, in Form von ziemlich harten...
  4. Sweet Page Startseite macht PC langsam.

    Sweet Page Startseite macht PC langsam.: Hej. Eine Frage zu meinem Rechner. Letzte Zeit ist mein Rechner sehr langsam geworden. Ich habe das bemerkt, wenn ich im Browser von einer Seite...
  5. Heutige Bastelstunde : Oder was macht ihr heut am PC

    Heutige Bastelstunde : Oder was macht ihr heut am PC: Hier kann ja mal jeder schreiben , was er heut außer Zocken/Arbeiten mit seinen Rechner angestellt hat :) Ich hab mich vorhin mal an meinen...