| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit TDSS entfernenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.09.2009, 19:40
| #1 |
 |  Rootkit TDSS entfernen Hallo miteinander, erst einmal vielen Dank an alle die dieses Board zu dem machen was es ist. Eine hervorragende Quelle um den alltäglichen Plagegeistern in der Computer-Welt beizukommen !!! Ich habe hier schon öfters durch andere Threads Hilfe bekommen. Heute wende ich mich aber direkt hierhin, da ich jetzt nicht mehr so richtig weiterkomme. Folgendes ist bisher passiert: Durch meinen Antiviren-Scanner wurde ich darauf aufmerksam, daß mein Rechner unbeabsichtigt E-Mails versendet. Es gab jedesmal eine Meldung, dass mein ISP die gesendeten E-Mails abgelehnt hat (gottseidank). Ich hab mit Spybot gescannt und mehrere Einträge gefunden und diese auch entfernt. Allerdings waren die danach immer noch da. Ich hatte einen Prozess der in C:\Windows\Temp\ lief und sich als Adobe irgendwas Updater tarnte. Die Datei konnte ich im abgesicherten Modus entfernen, allerdings war ich nun misstrauisch und hab mit Sophos Rootkit Remover ebenfalls gescannt und siehe da es waren mehrere versteckte Files im System32\drivers\ Ordner die offensichtlich zufällig benannt wurden. Aber in jedem Fall als *.sys *.dat *.dll sich offenbarten. Beispiel: gasfkyjovdlcol.dat Ich hab dann ebenfalls mit GMER gescannt und einige weitere Einträge gefunden. Unter anderem auch versteckte Einträge in der Registry, die ich nicht entfernen konnte. Meine Vermutung ist jetzt, dass durch die Registry-Einträge weitere versteckte Dateien auf meinem Rechner immer wieder den Schadcode laden, um sich einer Säuberung zu entziehen. Wäre sehr dankbar für Tipps zum weiteren Vorgehen. RootRepeal läuft grade, nimmt sich aber ziemlich viel Zeit auf meinem Hauptrechner. Ach ja, zumindest versendet der Rechner nun keine Spam-Mails mehr, daß habe ich denke ich mit dem löschen der Datei im temp Verzeichnis. Aber wie man sieht, sind noch ziemlich viele Einträge vom Typ gasfkymfdynxmk vorhanden. Die Dinger sind auf jeden Fall nicht gut !!! Hier erstmal das Logfile von Gmer: Code:
ATTFilter GMER 1.0.15.15087 - http://www.gmer.net
Rootkit scan 2009-09-26 18:59:25
Windows 5.1.2600 Service Pack 3
Running: 2v08heo8.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kgtdqpow.sys
---- System - GMER 1.0.15 ----
SSDT 89CBE698 ZwConnectPort
SSDT sptd.sys ZwCreateKey [0xB7EBE0D0]
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xABA24350]
SSDT sptd.sys ZwEnumerateKey [0xB7EC3FB2]
SSDT sptd.sys ZwEnumerateValueKey [0xB7EC4340]
SSDT sptd.sys ZwOpenKey [0xB7EBE0B0]
SSDT sptd.sys ZwQueryKey [0xB7EC4418]
SSDT 8ABF00C0 ZwQueryValueKey
SSDT 89BF0CB8 ZwResumeThread
SSDT \??\C:\Programme\Symantec\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xABA24580]
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
.text USBPORT.SYS!DllUnload B661E8AC 5 Bytes JMP 8AC791C8
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EBEAD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EBEC1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EBEB9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EBF748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EBF61E] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B7ED429A] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8AE0A1E8
AttachedDevice \FileSystem\Ntfs \Ntfs SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Fastfat \FatCdrom 89B7D410
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBPDO-0 8AC701E8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmConfig 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmPnP 8AE0C1E8
Device \Driver\dmio \Device\DmControl\DmInfo 8AE0C1E8
Device \Driver\usbehci \Device\USBPDO-1 8AC675D0
Device \Driver\NetBT \Device\NetBT_Tcpip_{189E787C-DBBF-41D8-8023-F386B04AC9DA} 89B98448
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8AE7B1E8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8AE7B1E8
Device \Driver\Cdrom \Device\CdRom0 8AC781E8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8AE7B1E8
Device \Driver\Ftdisk \Device\HarddiskVolume4 8AE7B1E8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89B98448
Device \Driver\NetBT \Device\NetbiosSmb 89B98448
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbohci \Device\USBFDO-0 8AC701E8
Device \Driver\usbehci \Device\USBFDO-1 8AC675D0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8ABAA790
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8ABAA790
Device \Driver\Ftdisk \Device\FtControl 8AE7B1E8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path0Target0Lun0 8AE0B1E8
Device \Driver\nvgts \Device\Scsi\nvgts1 8AE0B1E8
Device \Driver\nvgts \Device\Scsi\nvgts2 8AE0B1E8
Device \FileSystem\Fastfat \Fat 89B7D410
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
Device \FileSystem\Cdfs \Cdfs 8ABBD468
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk@imagepath \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@aid 10034
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkycmd.dll \systemroot\system32\gasfkymupogdoc.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkylog.dat \systemroot\system32\gasfkyjovdlcol.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkywsp.dll \systemroot\system32\gasfkyrulvbonf.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfky.dat \systemroot\system32\gasfkywiqxjmdd.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\gasfkymfdynxmk\modules@gasfkywsp8.dll \systemroot\system32\gasfkyweitfenp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 D:\DAEMON Tools Pro\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x47 0xA9 0xB0 0x59 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x6F 0x6D 0x7F ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x89 0x24 0x28 0xF3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0xBF 0xE8 0xFB 0x28 ...
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@start 4
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk@imagepath \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@aid 10034
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@sid 0
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\injector@* gasfkywsp8.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkyrk.sys \systemroot\system32\drivers\gasfkyhldebdpq.sys
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkycmd.dll \systemroot\system32\gasfkymupogdoc.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkylog.dat \systemroot\system32\gasfkyjovdlcol.dat
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkywsp.dll \systemroot\system32\gasfkyrulvbonf.dll
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfky.dat \systemroot\system32\gasfkywiqxjmdd.dat
Reg HKLM\SYSTEM\ControlSet003\Services\gasfkymfdynxmk\modules@gasfkywsp8.dll \systemroot\system32\gasfkyweitfenp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x32 0xDC 0xFC 0x09 ...
---- EOF - GMER 1.0.15 ----
|
| Themen zu Rootkit TDSS entfernen |
| .dll, abgesicherten modus, adobe, atapi.sys, c:\windows\temp, cdrom, controlset002, dateien, e-mails, entfernen, hal.dll, i8042prt.sys, immer wieder, logfile, löschen, microsoft, ordner, programme, prozess, registry, rootkit, schadcode, sophos, spam-mails, sptd.sys, symantec, system, system32, tdss, temp, udp, usbport.sys, versteckte dateien, windows, windows\temp, write, zufällig, zwcreatekey, zwopenkey |
Baum-Darstellung