|
Plagegeister aller Art und deren Bekämpfung: Befall TDSS-X, TDSSPack-L, -K, -OWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.06.2009, 13:50 | #1 |
| Befall TDSS-X, TDSSPack-L, -K, -O Hallo, hab seit heute Probleme mit Trojanern auf meinem Windows XP-Rechner. Adobe Reader kann keine pdfs mehr öffnen, hängt sich dann auf und nur noch PC ausschalten hilft. Habe zunächst Reader 9 entfernt und ältere Version installiert, aber selbes Problem. Daraufhin mal Sophos Anti-Virus (Version 7.6.8, regelmäßig upgedatet) "Meinen Computer überprüfen" durchlaufen lassen. Daraufhin folgen Meldungen, wonach 7 Dateien unter Quarantäne gestellt wurden. Im Quarantäne-Meanager sieht das dann so aus: Typ Virus/Spyware, Name Troj/TDSS-X, Details C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACniomybltfaimovv.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACbrjevrletlwnorn.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll [versteckt] Und es heißt jeweils unter Maßnahme "Manuelle Entfernung", aber wenn man auf den Link zur Sophos-Internetseite klickt, stürzt der PC ab und es hilft nur ausschalten. Nach dem neustarten sind die dateien dann natürlich nicht in Quarantäne. Hab hier wo was mit "devmgmt.msc" in Ausführen eingeben gelesen und dann nach Nicht-PnP-Treibern suchen. Habe da aber keine auffälligen gefunden, zumindest keine ,auf die da hingewiesen wurde. Ich erhalte jedenfalls die folgenden: ACEDRV06 AFD ArcNet NDIS Protocol Driver Beep dmboot dmload Fips Hardlock HTTP IP-Netzwerkadressübersetzung IPSEC-Treiber ksecdd mnmdd mountmgr NDIS-Benutzermodus-E/A-Protokoll NDIS-Systemtreiber NDProxy NetBios über TCP/IP Novell InterService-Kommunikationstreiber Novell NetWare-Ressourcen-Manager Novell-UNC-Pfadfilter Null PartMgr ParVdm RAS-IP-ARP-Treiber RAS-NDIS-TAPI-Treiber RDPCDD Secdrv Standardpaketklassifizierung TCP/IP-Protokolltreiber Treiber für automatische RAS-Verbindung VgaSave VolSnap Was muss ich jetzt tun, um den/die Trojaner zu entfernen? Welche Programme sind zu deinstallieren??? Bitte helft mir, ich kenn mich damit leider überhaupt nicht aus |
13.06.2009, 14:44 | #2 |
| Befall TDSS-X, TDSSPack-L, -K, -O Nachtrag:
__________________Schritt 1 CCleaner läuft durch inkl. Registrierung. Schritt 2 Malwarebytes' Anti-Malware hängt sich beim Installieren auf, funktioniert auch nicht, wenn ich die exe umbenenne. Im Gegensatz zu dem Problem unten mit Sophos kann ich das Setup allerdings über den Windows Task-Maanger abwerfen. Was ist zu tun? |
13.06.2009, 14:55 | #3 |
| Befall TDSS-X, TDSSPack-L, -K, -O Hallo und
__________________Du sparst dir eine Menge Zeit, wenn du den schnellen und sicheren Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html Falls du Säuberung vorziehst, dann: Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter Drivers to delete: UACd.sys Registry keys to delete: HKLM\SYSTEM\ControlSet001\Services\UACd.sys HKLM\SYSTEM\ControlSet002\Services\UACd.sys HKLM\SYSTEM\ControlSet003\Services\UACd.sys HKLM\SYSTEM\ControlSet004\Services\UACd.sys Files to delete: C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys C:\WINDOWS\system32\UACniomybltfaimovv.dll C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll C:\WINDOWS\system32\UACbrjevrletlwnorn.dll C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll
ciao, andreas
__________________ |
13.06.2009, 16:11 | #4 |
| Befall TDSS-X, TDSSPack-L, -K, -O So nachdem ich CCleaner durchlaufen hatte lassen, hab ich nochmals Sophos gestartet. Hat wieder die 7 Dateien erkannt und in Quarantäne verschoben, ist danach aber nicht mehr abgestürzt, wenn man den Link zur Internetseite gehen wollte. Daraufhin hab ich noch Avira Antivir in der hier beschreibenen "aggressiven" Einstellung durchlaufen lassen, hat nichts Negatives gemeldet. Dann hab ich die Dateien im Quarantänemanager von Sophos wieder "entfernt" (war mir nicht sicher, ob er die irgendwohin verschoben hat oder umbenannt hat, solange sie in Quarantäne sind). Und eben dann Hopsassa durchlaufen lassen: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys" deleted successfully. File "C:\WINDOWS\system32\UACniomybltfaimovv.dll" deleted successfully. File "C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll" deleted successfully. File "C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll" deleted successfully. File "C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll" deleted successfully. File "C:\WINDOWS\system32\UACbrjevrletlwnorn.dll" deleted successfully. File "C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
13.06.2009, 16:16 | #5 |
| Befall TDSS-X, TDSSPack-L, -K, -O ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:18 | #6 |
| Befall TDSS-X, TDSSPack-L, -K, -O Nochmal Sophos gestartet, die Dateien sind offenbar immer noch da und sind niocht gelöscht worden, zumindest findet er wieder dieselben 7... Neuinstallieren geht leider nicht, das ist ein Arbeitsplatz-Rechner an der Uni, die bekommt man im Rechenzentrum bei uns vorinstalliert mit dem üblichen Windows-Zeugs. Ich könnte natürlich die Daten sichern und am Montag zu denen bringen, aber das wird ne Weile dauern, bis ich ihn wiederseh und in der Zeit kann ich dann nicht arbeiten... |
13.06.2009, 16:20 | #7 |
| Befall TDSS-X, TDSSPack-L, -K, -O Combofix jetzt trotzdem laufen lassen? Oder nochmal erst das Hopsassa? Und die Dateien in Quarantäne lassen oder nicht? Tut mir echt leid, dass ich mich so dumm anstelle |
13.06.2009, 16:22 | #8 | |
| Befall TDSS-X, TDSSPack-L, -K, -O Dieben wir doch einfach mal bei den Kollegen vom HJT-Forum. Zitat:
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:27 | #9 |
| Befall TDSS-X, TDSSPack-L, -K, -O OK, sorry. Aber beim ersten Mal, wo ich Hopsassa durchlaufen ließ, waren die Dateien nicht mehr in der Quarantäne. War das richtig bzw. hat das überhaupt irgendeine Beduetung? Denn jetzt wären sie leider wieder in der Quarantäne. Also 1) tu ich sie da jetzt raus, starte Hopsassa, poste hier die Meldung und startet dann Combofix (natürlich jetzt ohne irgendetwas dazwischen zu machen)? Oder 2) lass ich sie in der Sophos-Quarantäne drin und starte Hopsassa, poste die Datei und dann Combofix? |
13.06.2009, 16:29 | #10 |
| Befall TDSS-X, TDSSPack-L, -K, -O Combofix und sonst nix. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:35 | #11 |
| Befall TDSS-X, TDSSPack-L, -K, -O Startet nicht, auch nicht als cofi.exe. |
13.06.2009, 16:37 | #12 |
| Befall TDSS-X, TDSSPack-L, -K, -O Kommt eine Fehlermeldung? Öffnet sich ein Fenster? Was genau passiert? ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:38 | #13 |
| Befall TDSS-X, TDSSPack-L, -K, -O Es passiert nichts. Ich doppelklicke auf die Datei, und es öffnet sich kein Fenster, es kommt keine Fehlermeldung, es passiert rein gar nichts. |
13.06.2009, 16:43 | #14 |
| Befall TDSS-X, TDSSPack-L, -K, -O 1.) Systemdetails mit RSIT prüfen
2.) GMER - Rootkit Detection
ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
13.06.2009, 16:47 | #15 |
| Befall TDSS-X, TDSSPack-L, -K, -O RSIT ist durchgelaufen, zwei txt-Dateien offen, jetzt müsste ich noch schnell wissen, wie ich den Textinhalt hier einbinden kann, damit das nicht ewig lang wird |
Themen zu Befall TDSS-X, TDSSPack-L, -K, -O |
adobe, automatische, befall, bios, c:\windows, computer, dateien, entfernen, folge, hängt, klick, link, maßnahme, neustarten, probleme, programme, quarantäne, seite, sophos, suche, system, system32, trojaner, version, windows, öffnen |