Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sik

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.09.2010, 18:35   #16
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Done!
Hab jetzt 4x gescannt und er findet immer wieder Hidden Objects in der Registry.
Werd's anscheinend nicht los.
So langsam schleicht sich mir der Verdacht, dass die einzig sichere Lösung das Neuaufsetzen und ändern aller wichtiger Passwörter ist. -.-

Hier noch das Log:

Code:
ATTFilter
##########################################################################
#
#  TDSS Remover detected objects log
#  Copyright (c) 2009-2010 eSage Lab
#
#     hxxp://www.esagelab.com/
#     support@esagelab.com
#
#  Program Version: 1.8.0.0
#  OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
#
#  Computer Name: xxx
#
#  Log File Date/Time: 20.09.2010/19:22:06
#
##########################################################################

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

    Alert Type: Hidden Object
   Object Type: Registry Key
 Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
         

Alt 20.09.2010, 18:42   #17
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



ja, neu aufsetzen geht auf jeden fall schneller.
ich bin dir dann gern behilflich beim absichern
__________________


Alt 20.09.2010, 18:59   #18
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Alles klar, dann erstmal danke soweit.
Ich melde mich, sobald ich neu aufgesetzt habe.
Gruß
__________________

Alt 21.09.2010, 18:25   #19
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Hallo markusg,
folgendes:
Mein PC war vor ca. 3 Wochen mit einem RootKit verseucht.
Also hab ich ihn zu einem Fachmann gegeben, der es entfernt hat.
Das RootKit hatte sich in der System-Date "Ftdisk.sys" eingenistet und startete somit bei jedem Systemstart automatisch mit.
Ich bekam den PC zurück und fand ja in der "Ftdisk.sik" den Backdoor.Tidserv.
Ich war eben nochmal bei besagtem Fachmann, der mir erklärte, dass er alles entfernt habe und die .sys-Datei lediglich in .sik umbenannt habe, damit diese nicht mitstarte.
Er hat sie nun einfach gelöscht und nun ist Ruhe!
Sämtliche nun noch durchgeführte Scans mit Norton und Malwarebytes ergaben keine Infektionen und einen cleanen PC.
Eine Neuaufsetzung war daher unnötig.

Bin froh, dass sich das jetzt geklärt hat und hoffe nun auf Hilfe von dir, wie ich das System absichere.

Gruß

Alt 21.09.2010, 18:38   #20
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



norton war nicht in der lage eine inaktieve datei zu entfernen oder wie?
musstest du den typen für den zweiten besuch noch bezahlen?
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden
soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen
aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen.
http://filepony.de/download-adblock_firefox//
hier gibt es noch filterlisten:
Bekannte Filterlisten für Adblock Plus
hier würde ich 2 oder 3 deutsche filter auswählen.
unter sonstiges die malware blocklist.

um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
plugin-container.exe
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
ab sofort also nur noch in der sandbox surfen bitte.
dies geht mit nem klick auf sandboxed web browser
autorun für usb deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
updates:
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
11. passwörter endern
und es wäre nett gewesen das vorher zu erfahren. das da schon jemand gebastelt hatt


Alt 21.09.2010, 18:42   #21
Cy-Music
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



Keine Bezahlung, nein
Ich hab versucht, die Datei per Hand zu löschen, aber mir wurde der Zugriff verweigert. Er hat dann einfach Norton deaktiviert und es ging.
Naja, bin wohl selten doof

Eine Frage noch:
Surfe zurzeit als Administrator, auch eher suboptimal oder?
Will mir ein zweites, eingeschränktes Konto erstellen, aber wie krieg ich dann alles, was ich auf dem Admin-Konto hab auf das andere rüber? (Programme, etc.)
Geht das nur über Deinstallation + Neuinstallation auf dem zweiten Account?

Lieben Gruß und vielen Dank für die kompetente Hilfe und die Tips

Alt 21.09.2010, 18:43   #22
markusg
/// Malware-holic
 
Backdoor.Tidserv in ftdisk.sik - Standard

Backdoor.Tidserv in ftdisk.sik



a die norton meldung hättest du mir posten können, norton sperrt die datei und will sie dann nach neustart löschen oder der wächter schlägt an. naja wenn jetzt alles läuft...

Antwort

Themen zu Backdoor.Tidserv in ftdisk.sik
adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp




Ähnliche Themen: Backdoor.Tidserv in ftdisk.sik


  1. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  2. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  3. Boot.tidserv entfernen
    Log-Analyse und Auswertung - 09.02.2012 (16)
  4. Backdoor.Tidserv auf dem Rechner - vollständig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 15.05.2011 (17)
  5. Https tidserv request
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (10)
  6. Brauche Anleitung bei Entfernung von HTTPS TIDSERV REQUEST 2
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (7)
  7. Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 02.11.2010 (30)
  8. Backdoor.Bot / Backdoor.Gootkit / Malware.Trace -> HiJackThis + Malwarebytes logfile
    Log-Analyse und Auswertung - 02.07.2010 (6)
  9. Tidserv Request 2 > svchost.exe, firefox.exe
    Plagegeister aller Art und deren Bekämpfung - 28.06.2010 (16)
  10. Win32/PATCHED.DO in C:\WINDOWS\system32\drivers\ftdisk.sys
    Plagegeister aller Art und deren Bekämpfung - 30.05.2010 (1)
  11. Https Tidserv Request
    Plagegeister aller Art und deren Bekämpfung - 16.04.2010 (7)
  12. Backdoor.Tidserv!inf
    Plagegeister aller Art und deren Bekämpfung - 21.01.2009 (5)
  13. Backdoor.Trojan und Backdoor.Grybird
    Mülltonne - 13.10.2008 (0)
  14. TR/BackDoor.NB
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (4)
  15. Backdoor.GrayBird.K (BackDoor-ARR [McAfee]
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (1)
  16. W32/Backdoor-CFB
    Plagegeister aller Art und deren Bekämpfung - 08.09.2004 (1)
  17. Backdoor.sd.bot
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (2)

Zum Thema Backdoor.Tidserv in ftdisk.sik - Done! Hab jetzt 4x gescannt und er findet immer wieder Hidden Objects in der Registry. Werd's anscheinend nicht los. So langsam schleicht sich mir der Verdacht, dass die einzig sichere - Backdoor.Tidserv in ftdisk.sik...
Archiv
Du betrachtest: Backdoor.Tidserv in ftdisk.sik auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.