|
Anleitungen, FAQs & Links: TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernenWindows 7 Hilfreiche Anleitungen um Trojaner zu entfernen. Viele FAQs & Links zum Thema Sicherheit, Malware und Viren. Die Schritt für Schritt Anleitungen zum Trojaner entfernen sind auch für nicht versierte Benutzer leicht durchführbar. Bei Problemen, einfach im Trojaner-Board nachfragen - unsere Experten helfen kostenlos. Weitere Anleitungen zu Hardware, Trojaner und Malware sind hier zu finden. |
19.01.2010, 16:34 | #1 |
Administrator /// technical service | TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen TDSSKiller Download Rootkit (vom Engl. root kit) ist ein Programm oder eine Sammlung von Programmen, die zum Verstecken von Spuren der Anwesenheit des Verbrechers oder eines schädlichen Programms im System verwendet werden. Alias-Namen anderer AV-Hersteller: Packed.Win32.TDSS, Rootkit.Win32.TDSS Kaspersky Lab Mal/TDSSPack, Mal/TDSSPk Sophos Trojan:Win32/Alureon Microsoft Packed.Win32.Tdss Ikarus W32.Tidserv, Backdoor.Tidserv Symantec Trojan.TDSS MalwareBytes Backdoor:W32/TDSS F-Secure BKDR_TDSS Trend Micro Rootkit.TDss BitDefender Generic Rootkit.d McAfee In Windows-Systemen wird unter Rootkit ein Programm verstanden, das in das System eindringt und Systemfunktionen (Windows API) übernimmt. Das Übernehmen und die Modifizierung der API-Funktionen erlaubt dem Programm seine Anwesenheit im System zu tarnen. Außerdem kann ein Rootkit die Anwesenheit im System aller in seiner Konfiguration beschriebenen Vorgänge, Verzeichnisse und Dateien auf dem Laufwerk, Verzeichnisschlüssel verstecken. Viele Rootkit installieren im System seine Treiber und Dienste (sie sind auch "unsichtbar"). Die Desinfektion von Systemen, die mit schädlichen Programmen der Familie Rootkit.Win32.TDSS infiziert sind, erfolgt mit dem Tool TDSSKiller.exe. Dateien von Google Umleitungen, TDSS, TDL3, Alureon rootkit: Code:
ATTFilter C:\WINDOWS\_VOID<zufällig>\ C:\WINDOWS\_VOID<zufällig>\_VOIDd.sys C:\WINDOWS\system32\UAC<zufällig>.dll C:\WINDOWS\system32\uacinit.dll C:\WINDOWS\system32\UAC<zufällig>.db C:\WINDOWS\system32\UAC<zufällig>.dat C:\WINDOWS\system32\uactmp.db C:\WINDOWS\system32\_VOID<zufällig>.dll C:\WINDOWS\system32\_VOID<zufällig>.dat C:\WINDOWS\SYSTEM32\4DW4R3c.dll C:\WINDOWS\SYSTEM32\4DW4R3sv.dat C:\WINDOWS\SYSTEM32\4DW4R3<zufällig>.dll C:\WINDOWS\system32\drivers\_VOID<zufällig>.sys C:\WINDOWS\system32\drivers\UAC<zufällig>.sys C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3<zufällig>.sys C:\WINDOWS\Temp\_VOID<zufällig>tmp C:\WINDOWS\Temp\UAC<zufällig>.tmp %Temp%\UAC<zufällig>.tmp %Temp%\_VOID<zufällig>.tmp C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll Code:
ATTFilter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID<zufällig> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3 Code:
ATTFilter Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c. |
19.01.2010, 17:10 | #2 |
Administrator /// technical service | TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen Stand: 24.04.2014
__________________Rootkit-Entfernung mit TDSSiller Info: Der TDSS-Killer von Kaspersky ist ein mächtiges Tool, mit dem sich eine Vielzahl von Rootkits, Bootkits vor allem aber die Rootkit-Familie Win32.TDSS entfernen lassen. Der Name geht auf ein Rootkit zurück, in dessen Code die Zeichenfolge "TDSS" vorkam. Version: Schritt 1 Lade Dir von hier TDSSKiller herunter und speichere die TDSSKiller.exe auf dem Desktop. Schritt 2 Starte TDSSKiller mit einem Doppelklick und bestätige die Meldung der Benutzerkontensteuerung mit "Ja". TDSSKiller startet nun und sucht nach Updates. Sollte ein Update zur Verfügung stehen, klicke auf "Load Update". Es wird die neueste Version heruntergeladen. Entpacke die Archivdatei auf dem Desktop. Öffne den Ordner und starte die TDSSKiller.exe (Analog Schritt 2) Schritt 3 Bestätige die nachfolgenden Vereinbarungen mit "Accept" bis Du zur Programmoberfläche gelangst. Klicke nun auf der Programmoberfläche auf "Change parameters" und setze die Haken unter "Additional options" wie auf dem Bild gezeigt und bestätige mit OK. Schritt 4 Klicke nun auf "Start scan" und der Suchlauf wird gestartet. Szenario 1: TDSSKiller findet keine Rootkits In diesem Fall oben rechts auf "Report" klicken. Den Inhalt des Textdateifensters mit "STRG+A" markieren, "STRG+C" kopiert den Text in den Zwischenspeicher. Mit "STRG+V" kann der Text dann in Code-Tags als Antwort in den Thread gepostet werden. Szenario 2: TDSSKiller findet Rootkits In diesem Fall bitte unbedingt die Anweisungen der Helfer beachten. In der Regel wird nach dem ersten Scan immer "Skip" ausgewählt und mit "Continue" bestätigt. Anschließend dem Helfer über "Report" den Scanbericht posten. Schritt 5 Du hast von Deinem Helfer den Auftrag bekommen die Schritte 2-4 zu wiederholen. Am Ende des Scanvorgangs, soll diesmal aber die Malware beseitigt werden. Dazu wählt man "Cure" bzw. "Delete" aus und bestätigt mit "Continue". Der TDSSKiller neutralisiert nun die Bedrohungen und benötigt zur abschließenden Desinfektion einen Reboot des Computers. Bevor Du den Reboot durchführst, postest Du Deinem Helfer über "Report" den Bericht über die Desinfektion als Antwort in den Thread. (Vorgehen siehe Szenario 1) Code:
ATTFilter 23:32:06.0499 0x0fe8 Scan finished 23:32:06.0499 0x0fe8 ============================================================ 23:32:06.0515 0x0fe0 Detected object count: 2 23:32:06.0515 0x0fe0 Actual detected object count: 2 23:55:04.0544 0x0fe0 \Device\Harddisk0\DR0\# - copied to quarantine 23:55:04.0544 0x0fe0 \Device\Harddisk0\DR0 - copied to quarantine 23:55:04.0544 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine 23:55:04.0544 0x0fe0 \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\drv64 - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine 23:55:04.0559 0x0fe0 \Device\Harddisk0\DR0\TDLFS\drv32 - copied to quarantine 23:55:04.0575 0x0fe0 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - will be cured on reboot 23:55:04.0575 0x0fe0 \Device\Harddisk0\DR0 - ok 23:55:05.0651 0x0fe0 \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Cure 23:55:05.0651 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine 23:55:05.0651 0x0fe0 \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine 23:55:05.0667 0x0fe0 \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine 23:55:05.0667 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0\TDLFS - deleted 23:55:05.0682 0x0fe0 \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Delete 23:55:05.0792 0x0fe0 KLMD registered as C:\Windows\system32\drivers\17516469.sys Nach Neustart/Reboot des Computers führst Du Schritt 2 bis 4 erneut aus und postest den Report in analoger Weise wie in den Szenarien 1 und 2 beschrieben. Geändert von Larusso (02.10.2011 um 09:52 Uhr) |
19.01.2010, 17:16 | #3 |
Administrator | TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen Wichtig: auf jeden Fall sollte eine Weitere Überprüfung des Systems stattfinden, da ein Rootkit oftmals nicht die alleinige Malware auf dem System ist.
__________________Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten? |
Themen zu TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen |
atapi.sys, backdoor.tidserv, backdoor:w32/tdss, bkdr_tdss, generic rootkit.d, h8srt, kaspersky tdss removing tool, mal/tdsspack, mal/tdsspk, norman tdss cleaner, packed.win32.tdss, root kit, rootkit entfernen, rootkit.boot.sst.b, rootkit.tdss, rootkit.win32.tdss, rootkit.win32.tdss.tdl4, tdsskiller.exe, trojan.tdss, trojan:win32/alureon, w32.tidserv |