|
Plagegeister aller Art und deren Bekämpfung: Backdoor.Tidserv in ftdisk.sikWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.09.2010, 18:35 | #16 |
| Backdoor.Tidserv in ftdisk.sik Done! Hab jetzt 4x gescannt und er findet immer wieder Hidden Objects in der Registry. Werd's anscheinend nicht los. So langsam schleicht sich mir der Verdacht, dass die einzig sichere Lösung das Neuaufsetzen und ändern aller wichtiger Passwörter ist. -.- Hier noch das Log: Code:
ATTFilter ########################################################################## # # TDSS Remover detected objects log # Copyright (c) 2009-2010 eSage Lab # # hxxp://www.esagelab.com/ # support@esagelab.com # # Program Version: 1.8.0.0 # OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600) # # Computer Name: xxx # # Log File Date/Time: 20.09.2010/19:22:06 # ########################################################################## Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq2 Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq3 Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Alert Type: Hidden Object Object Type: Registry Key Original Name: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC |
20.09.2010, 18:42 | #17 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik ja, neu aufsetzen geht auf jeden fall schneller.
__________________ich bin dir dann gern behilflich beim absichern |
20.09.2010, 18:59 | #18 |
| Backdoor.Tidserv in ftdisk.sik Alles klar, dann erstmal danke soweit.
__________________Ich melde mich, sobald ich neu aufgesetzt habe. Gruß |
21.09.2010, 18:25 | #19 |
| Backdoor.Tidserv in ftdisk.sik Hallo markusg, folgendes: Mein PC war vor ca. 3 Wochen mit einem RootKit verseucht. Also hab ich ihn zu einem Fachmann gegeben, der es entfernt hat. Das RootKit hatte sich in der System-Date "Ftdisk.sys" eingenistet und startete somit bei jedem Systemstart automatisch mit. Ich bekam den PC zurück und fand ja in der "Ftdisk.sik" den Backdoor.Tidserv. Ich war eben nochmal bei besagtem Fachmann, der mir erklärte, dass er alles entfernt habe und die .sys-Datei lediglich in .sik umbenannt habe, damit diese nicht mitstarte. Er hat sie nun einfach gelöscht und nun ist Ruhe! Sämtliche nun noch durchgeführte Scans mit Norton und Malwarebytes ergaben keine Infektionen und einen cleanen PC. Eine Neuaufsetzung war daher unnötig. Bin froh, dass sich das jetzt geklärt hat und hoffe nun auf Hilfe von dir, wie ich das System absichere. Gruß |
21.09.2010, 18:38 | #20 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik norton war nicht in der lage eine inaktieve datei zu entfernen oder wie? musstest du den typen für den zweiten besuch noch bezahlen? dep für alle prozesse: Datenausführungsverhinderung (DEP) • "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:". wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen. als adon noscript, es werden dadurch einige scripts (java) zb blockiert, du kannst diese dann frei geben, in dem du auf der seite, die freigegeben werden soll, nen rechtsklick machst, noscript wählst, und temporär alle berectigungen aufheben wählst, somit werden sie für den besuch aufgehoben, oder alle beschrenkungen aufheben, somit wird die seite freigegeben. das kann man natürlich wieder rückgängig machen. http://filepony.de/download-adblock_firefox// hier gibt es noch filterlisten: Bekannte Filterlisten für Adblock Plus hier würde ich 2 oder 3 deutsche filter auswählen. unter sonstiges die malware blocklist. um das surfen sicherer zu machen, würde ich Sandboxie empfehlen. Download: drop.io (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar. den direkten datei zugriff bitte auf firefox beschrenken, hier kannst du auch noscript und andere plugins eintragen. OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini plugin-container.exe bei Internetzugriff: firefox.exe und plugin-container.exe eintragen wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. ab sofort also nur noch in der sandbox surfen bitte. dies geht mit nem klick auf sandboxed web browser autorun für usb deaktivieren: über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab. Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de usb sticks, festplatten etc, sollte man mit panda vaccine impfen: ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit. hake an: hake an: run panda usb vaccine automatically when computer boots automatically vaccine any new insert usb key enable ntfs file suport updates: Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt. instaliere die folgenden update checker. Secunia: http://www.trojaner-board.de/83959-s...ector-psi.html und file hippo update checker: FileHippo.com Update Checker - FileHippo.com das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok. dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren. Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden. regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht. Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen. Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden. Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll. 11. passwörter endern und es wäre nett gewesen das vorher zu erfahren. das da schon jemand gebastelt hatt |
21.09.2010, 18:42 | #21 |
| Backdoor.Tidserv in ftdisk.sik Keine Bezahlung, nein Ich hab versucht, die Datei per Hand zu löschen, aber mir wurde der Zugriff verweigert. Er hat dann einfach Norton deaktiviert und es ging. Naja, bin wohl selten doof Eine Frage noch: Surfe zurzeit als Administrator, auch eher suboptimal oder? Will mir ein zweites, eingeschränktes Konto erstellen, aber wie krieg ich dann alles, was ich auf dem Admin-Konto hab auf das andere rüber? (Programme, etc.) Geht das nur über Deinstallation + Neuinstallation auf dem zweiten Account? Lieben Gruß und vielen Dank für die kompetente Hilfe und die Tips |
21.09.2010, 18:43 | #22 |
/// Malware-holic | Backdoor.Tidserv in ftdisk.sik a die norton meldung hättest du mir posten können, norton sperrt die datei und will sie dann nach neustart löschen oder der wächter schlägt an. naja wenn jetzt alles läuft... |
Themen zu Backdoor.Tidserv in ftdisk.sik |
adobe, adware.trymedia, backdoor.tidserv, bho, bonjour, computer, converter, einstellungen, entfernen, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, hängen, internet, internet explorer, intrusion prevention, logfile, mozilla, mp3, opera.exe, pdf, plug-in, programme, rootkit, security, software, symantec, tablet, trymedia, virus, windows xp |