TR/PCK.tdss.Z.230 in system32\tdlclk.dll

Harg · 25.11.2009, 12:24

Hallo!

der system scan hat funktioniert.

Das protokoll (die html + die xml) liegen als zip im anhang!

grüße,

Harg

undoreal · 25.11.2009, 12:33

Sehr gut! Vielen Dank. Ich gucke mir das an.

Kannst du mal bitte mit AVZ nach folgender Datei suchen:

Zitat:

atapi(54).sys

Ganz unten in der Anleitung zu AVZ wird besschrieben wie.
Kopiere alles ab was gefunden wurde und poste es.

Suche außerdem noch nach:

Zitat:

atapi.sys

Harg · 25.11.2009, 12:48

hier die beiden ergebnisse als screenshot:

undoreal · 25.11.2009, 13:20

Dankeschön.

Also wenn du möchtest dann killen wir den Schlingel jetzt. So langsam ist das Kanninchen sicher müde oder?

PS: Sag mal weisst du noch wo das Ding herkam? Hast du in letzter Zeit irgendwelche Cracks, Keygens oder andere gecrackte Software installiert? Wir bräuchten den Dropper, also die Installations Datei des Ganzen. Das wäre nochmal sehr hilfreich.

Harg · 25.11.2009, 13:23

hätte nichts dagegen

undoreal · 25.11.2009, 13:35

Gut, drucke dir diesen Post aus!

Verschiebe alle AVZ Funde (atapi.sys und atapi(54).sys) in die Quarantäne!
Danach löscht du den atapi(54).sys Fund.
Danach löscht du alle atapi.sys Funde bis auf die C:\Windows\system32\drivers\atapi.sys. Die muss unbedingt dort bleiben wo sie ist!
Alles andere kannst du löschen.

Danach legst du deine Windows CD ins Laufwerk ein.

Starte den Computer neu. Er sollte nun von der CD booten.

Starte die Wiederherstellungskonsole (Windows reparieren).
Dort startest du die EIngabeaufforderung und gibst folgende Befehl ein:

Zitat:

ren C:\windows\system32\drivers\atapi.sys atapi.bad

Mit Enter bestätigen.

Zitat:

copy X:\i386\atapi.sys C:\windows\systrem32\drivers\atapi.sys

Mit Enter bestätigen.

Starte den Computer neu und nimm die CD aus dem Laufwerk sodass er wieder ganz normal Windows startet.

Führe erneut die Suche nach der atapi.sys und nach der atapi(54).sys durch.

Harg · 25.11.2009, 13:39

oh, das ist jetzt aber ein kleines problem für mich:

bin momentan im ausland (auch noch für die nächste zeit) und habe natürlich meine windows cd daheim gelassen.

gibt es ne weitere möglichkeit? kann ich ne boot-cdisk inkl. der atapi.sys erstellen?

undoreal · 25.11.2009, 13:50

Hmpf. Das wird etwas schwer. Aber auch da könntest du Kanninchen spielen.

Das Problem ist, dass wir bei der atapi.sys von der Windows CD wenigstens sicher sein könnten, dass die 100%tig sauber ist,

Wenn ich eine aus dem DriverStore nehme dann muss das nicht unbedingt so sein. Wahrscheinlich schon aber halt nicht sicher.

Aber wir versuchen das mal.

Verschiebe alle Funde atapi.sys wie auch atapi(54).sys in die Quarantäne. Lösche aber nichts!

Führe danach folgendes Skript mit AVZ aus:

Code:

ATTFilter

begin
CreateQurantineArchive('C:\quarantine.zip');
end.

Lade die C:\quarantine.zip auf unseren uploadchannel hoch.

Harg · 25.11.2009, 14:05

ist passiert

ich konnte aber keine gepackte datei hochladen.. deswegen habe ich die datei-endung verändert. also nochmals die txt in zip umbennen und entpacken.

danke!!

undoreal · 25.11.2009, 14:22

Das hat nicht geklappt. Das Rootkit sperrt den Zugriff sodass wir die Dateien nicht in die Quarantäne bekommen.

Wir brauchen aber eine saubere Kopie der atapi.sys.

Versuchen wir es anders:
Start -> ausführen ->

Zitat:

cmd /c copy C:\windows\system32\drivers\atapi.sys C:\atapi.sys ohne

Klappt das? Also ist dann hinterher eine C:\atapi.sys vorhanden?

Harg · 25.11.2009, 14:28

hmm... also dein code funktioniert nicht.

aber (in der trojaner-board emailbenachrichtigung) hast du ja erst was von rechtsklick geschrieben. so manuell hats funktioniert. da is nun eine c:\atapi.sys

soll ich die hochladen?

undoreal · 25.11.2009, 14:29

Jo, hatte ich nochmal editiert sry.

Aber wenn die atapi.sys nun da ist dann ist gut.

Lade dir mal hoch.

Harg · 25.11.2009, 14:31

ist passiert

undoreal · 25.11.2009, 14:43

Mit dir kann man echt arbeiten.

Lade dir die Recovery Konsole.

http://www.drvista.de/vista-toolbox/...cd-32-bit.html

Und brenne sie auf eine CD.

Dann bootest du von der Cd.

Starte die Wiederherstellungskonsole (Windows reparieren).
Dort startest du die EIngabeaufforderung und gibst folgende Befehl ein:

Zitat:

ren C:\windows\system32\drivers\atapi.sys atapi.bad

Mit Enter bestätigen.

Zitat:

copy C:\atapi.sys C:\windows\systrem32\drivers\atapi.sys

Mit Enter bestätigen.

Starte den Computer neu und nimm die CD aus dem Laufwerk sodass er wieder ganz normal Windows startet.

Poste zwei AVZ logs wie in der Anleitung beschrieben wird.

Harg · 25.11.2009, 14:46

okay,

werd ich machen. leider wird das jetzt ein paar stunden dauern, da ich erst noch nen rohling besorgen muss

aber schonmal vielen dank!

ich melde mich bald möglichst mit hoffentlich guten nachrichten/logfiles.

25.11.2009, 14:29	#27
undoreal /// AVZ-Toolkit Guru	$TR/PCK.tdss.Z.230 in system32\tdlclk.dll - Standard$ TR/PCK.tdss.Z.230 in system32\tdlclk.dll Jo, hatte ich nochmal editiert sry. Aber wenn die atapi.sys nun da ist dann ist gut. Lade dir mal hoch. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

TR/PCK.tdss.Z.230 in system32\tdlclk.dll

Log-Analyse und Auswertung: TR/PCK.tdss.Z.230 in system32\tdlclk.dll