![]() |
|
Plagegeister aller Art und deren Bekämpfung: Befall TDSS-X, TDSSPack-L, -K, -OWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() ![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Hallo und ![]() Du sparst dir eine Menge Zeit, wenn du den schnellen und sicheren Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html Falls du Säuberung vorziehst, dann: Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: UACd.sys Registry keys to delete: HKLM\SYSTEM\ControlSet001\Services\UACd.sys HKLM\SYSTEM\ControlSet002\Services\UACd.sys HKLM\SYSTEM\ControlSet003\Services\UACd.sys HKLM\SYSTEM\ControlSet004\Services\UACd.sys Files to delete: C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys C:\WINDOWS\system32\UACniomybltfaimovv.dll C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll C:\WINDOWS\system32\UACbrjevrletlwnorn.dll C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll ![]()
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #2 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O So nachdem ich CCleaner durchlaufen hatte lassen, hab ich nochmals Sophos gestartet. Hat wieder die 7 Dateien erkannt und in Quarantäne verschoben, ist danach aber nicht mehr abgestürzt, wenn man den Link zur Internetseite gehen wollte. Daraufhin hab ich noch Avira Antivir in der hier beschreibenen "aggressiven" Einstellung durchlaufen lassen, hat nichts Negatives gemeldet. Dann hab ich die Dateien im Quarantänemanager von Sophos wieder "entfernt" (war mir nicht sicher, ob er die irgendwohin verschoben hat oder umbenannt hat, solange sie in Quarantäne sind). Und eben dann Hopsassa durchlaufen lassen:
__________________Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys" deleted successfully. File "C:\WINDOWS\system32\UACniomybltfaimovv.dll" deleted successfully. File "C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll" deleted successfully. File "C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll" deleted successfully. File "C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll" deleted successfully. File "C:\WINDOWS\system32\UACbrjevrletlwnorn.dll" deleted successfully. File "C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
![]() | #3 |
![]() ![]() ![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O ComboFix
__________________Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ |
![]() | #4 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Nochmal Sophos gestartet, die Dateien sind offenbar immer noch da und sind niocht gelöscht worden, zumindest findet er wieder dieselben 7... Neuinstallieren geht leider nicht, das ist ein Arbeitsplatz-Rechner an der Uni, die bekommt man im Rechenzentrum bei uns vorinstalliert mit dem üblichen Windows-Zeugs. Ich könnte natürlich die Daten sichern und am Montag zu denen bringen, aber das wird ne Weile dauern, bis ich ihn wiederseh und in der Zeit kann ich dann nicht arbeiten... |
![]() | #5 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Combofix jetzt trotzdem laufen lassen? Oder nochmal erst das Hopsassa? Und die Dateien in Quarantäne lassen oder nicht? Tut mir echt leid, dass ich mich so dumm anstelle ![]() |
![]() | #6 | |
![]() ![]() ![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Dieben wir doch einfach mal bei den Kollegen vom HJT-Forum. Zitat:
__________________ --> Befall TDSS-X, TDSSPack-L, -K, -O |
![]() | #7 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O OK, sorry. Aber beim ersten Mal, wo ich Hopsassa durchlaufen ließ, waren die Dateien nicht mehr in der Quarantäne. War das richtig bzw. hat das überhaupt irgendeine Beduetung? Denn jetzt wären sie leider wieder in der Quarantäne. Also 1) tu ich sie da jetzt raus, starte Hopsassa, poste hier die Meldung und startet dann Combofix (natürlich jetzt ohne irgendetwas dazwischen zu machen)? Oder 2) lass ich sie in der Sophos-Quarantäne drin und starte Hopsassa, poste die Datei und dann Combofix? |
![]() | #8 |
![]() ![]() ![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Combofix und sonst nix. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. ![]() Anleitungen Virenscanner Kompromittierung unvermeidbar? |
![]() | #9 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Startet nicht, auch nicht als cofi.exe. |
![]() | #10 |
![]() ![]() | ![]() Befall TDSS-X, TDSSPack-L, -K, -O Der Kaspersky ist durchgelaufen. Allerings kam kein Button, wo man ein Protokol oder überhaupt irgendwas hätte speichern können? Während er durchgelaufen ist, hat er aber 0 verdächtige Dateien gefunden. |
![]() |
Themen zu Befall TDSS-X, TDSSPack-L, -K, -O |
adobe, automatische, befall, bios, c:\windows, computer, dateien, entfernen, folge, hängt, klick, link, maßnahme, neustarten, probleme, programme, quarantäne, seite, sophos, suche, system, system32, trojaner, version, windows, öffnen |