Trojaner-Board - TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

Trojaner-Board (https://www.trojaner-board.de/)

- Anleitungen, FAQs & Links (https://www.trojaner-board.de/anleitungen-faqs-links/)

- - TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen (https://www.trojaner-board.de/82358-tdsskiller-google-umleitungen-tdss-tdl3-alureon-rootkit-entfernen.html)

TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

TDSSKiller Download

Rootkit (vom Engl. root kit) ist ein Programm oder eine Sammlung von Programmen, die zum Verstecken von Spuren der Anwesenheit des Verbrechers oder eines schädlichen Programms im System verwendet werden.

Alias-Namen anderer AV-Hersteller:

Packed.Win32.TDSS, Rootkit.Win32.TDSS
Kaspersky Lab

Mal/TDSSPack, Mal/TDSSPk
Sophos

Trojan:Win32/Alureon
Microsoft

Packed.Win32.Tdss
Ikarus

W32.Tidserv, Backdoor.Tidserv
Symantec

Trojan.TDSS
MalwareBytes

Backdoor:W32/TDSS
F-Secure

BKDR_TDSS
Trend Micro

Rootkit.TDss
BitDefender

Generic Rootkit.d
McAfee

In Windows-Systemen wird unter Rootkit ein Programm verstanden, das in das System eindringt und Systemfunktionen (Windows API) übernimmt. Das Übernehmen und die Modifizierung der API-Funktionen erlaubt dem Programm seine Anwesenheit im System zu tarnen. Außerdem kann ein Rootkit die Anwesenheit im System aller in seiner Konfiguration beschriebenen Vorgänge, Verzeichnisse und Dateien auf dem Laufwerk, Verzeichnisschlüssel verstecken. Viele Rootkit installieren im System seine Treiber und Dienste (sie sind auch "unsichtbar").

Die Desinfektion von Systemen, die mit schädlichen Programmen der Familie Rootkit.Win32.TDSS infiziert sind, erfolgt mit dem Tool TDSSKiller.exe.

Dateien von Google Umleitungen, TDSS, TDL3, Alureon rootkit:

Code:

C:\WINDOWS\_VOID<zufällig>\

C:\WINDOWS\_VOID<zufällig>\_VOIDd.sys

C:\WINDOWS\system32\UAC<zufällig>.dll

C:\WINDOWS\system32\uacinit.dll

C:\WINDOWS\system32\UAC<zufällig>.db

C:\WINDOWS\system32\UAC<zufällig>.dat

C:\WINDOWS\system32\uactmp.db

C:\WINDOWS\system32\_VOID<zufällig>.dll

C:\WINDOWS\system32\_VOID<zufällig>.dat

C:\WINDOWS\SYSTEM32\4DW4R3c.dll

C:\WINDOWS\SYSTEM32\4DW4R3sv.dat

C:\WINDOWS\SYSTEM32\4DW4R3<zufällig>.dll

C:\WINDOWS\system32\drivers\_VOID<zufällig>.sys

C:\WINDOWS\system32\drivers\UAC<zufällig>.sys

C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3.sys

C:\WINDOWS\SYSTEM32\DRIVERS\4DW4R3<zufällig>.sys

C:\WINDOWS\Temp\_VOID<zufällig>tmp

C:\WINDOWS\Temp\UAC<zufällig>.tmp

%Temp%\UAC<zufällig>.tmp

%Temp%\_VOID<zufällig>.tmp

C:\Documents and Settings\All Users\Application Data\_VOIDmainqt.dll

Registry-Einträge von Google Umleitungen, TDSS, TDL3, Alureon rootkit:

Code:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOIDd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_VOID<zufällig>

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4DW4R3

Code:

Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c.

TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

Stand: 24.04.2014

http://www.trojaner-board.de/extra/a..._anleitung.png

Rootkit-Entfernung mit TDSShttp://filepony.de/icon/tdsskiller.pngiller

Info:
Der TDSS-Killer von Kaspersky ist ein mächtiges Tool, mit dem sich eine Vielzahl von Rootkits, Bootkits vor allem aber die Rootkit-Familie Win32.TDSS entfernen lassen.
Der Name geht auf ein Rootkit zurück, in dessen Code die Zeichenfolge "TDSS" vorkam.

Version:
http://deeprybka.trojaner-board.de/tdss/about.png

Schritt 1
Lade Dir von hier TDSSKiller herunter und speichere die TDSSKiller.exe auf dem Desktop.
http://deeprybka.trojaner-board.de/tdss/exe.png

Schritt 2
Starte TDSSKiller mit einem Doppelklick und bestätige die Meldung der Benutzerkontensteuerung mit "Ja". TDSSKiller startet nun und sucht nach Updates. Sollte ein Update zur Verfügung stehen, klicke auf "Load Update".

http://deeprybka.trojaner-board.de/tdss/uactdss.PNG http://deeprybka.trojaner-board.de/tdss/starttdss.png http://deeprybka.trojaner-board.de/tdss/update.PNG

Es wird die neueste Version heruntergeladen. Entpacke die Archivdatei auf dem Desktop. Öffne den Ordner und starte die TDSSKiller.exe (Analog Schritt 2)

Schritt 3
Bestätige die nachfolgenden Vereinbarungen mit "Accept" bis Du zur Programmoberfläche gelangst.

http://deeprybka.trojaner-board.de/tdss/eula.PNG http://deeprybka.trojaner-board.de/tdss/ksn.PNG

Klicke nun auf der Programmoberfläche auf "Change parameters" und setze die Haken unter "Additional options" wie auf dem Bild gezeigt und bestätige mit OK.

http://deeprybka.trojaner-board.de/tdss/if1.PNG http://deeprybka.trojaner-board.de/tdss/options.PNG

Schritt 4

Klicke nun auf "Start scan" und der Suchlauf wird gestartet.

http://deeprybka.trojaner-board.de/tdss/scan.PNG

Szenario 1: TDSSKiller findet keine Rootkits
In diesem Fall oben rechts auf "Report" klicken.
Den Inhalt des Textdateifensters mit "STRG+A" markieren, "STRG+C" kopiert den Text in den Zwischenspeicher.
Mit "STRG+V" kann der Text dann in Code-Tags als Antwort in den Thread gepostet werden.

http://deeprybka.trojaner-board.de/tdss/keinfund.PNG

Szenario 2: TDSSKiller findet Rootkits
In diesem Fall bitte unbedingt die Anweisungen der Helfer beachten.
In der Regel wird nach dem ersten Scan immer "Skip" ausgewählt und mit "Continue" bestätigt.
Anschließend dem Helfer über "Report" den Scanbericht posten.

http://deeprybka.trojaner-board.de/tdss/rkfund.PNG

Schritt 5
Du hast von Deinem Helfer den Auftrag bekommen die Schritte 2-4 zu wiederholen. Am Ende des Scanvorgangs, soll diesmal aber die Malware beseitigt werden. Dazu wählt man "Cure" bzw. "Delete" aus und bestätigt mit "Continue".

http://w011dfc6@deeprybka.trojaner-b.../tdss/cure.PNG

Der TDSSKiller neutralisiert nun die Bedrohungen und benötigt zur abschließenden Desinfektion einen Reboot des Computers.

http://deeprybka.trojaner-board.de/tdss/cure2.PNG

Bevor Du den Reboot durchführst, postest Du Deinem Helfer über "Report" den Bericht über die Desinfektion als Antwort in den Thread. (Vorgehen siehe Szenario 1)

Code:

23:32:06.0499 0x0fe8  Scan finished

23:32:06.0499 0x0fe8  ============================================================

23:32:06.0515 0x0fe0  Detected object count: 2

23:32:06.0515 0x0fe0  Actual detected object count: 2

23:55:04.0544 0x0fe0  \Device\Harddisk0\DR0\# - copied to quarantine

23:55:04.0544 0x0fe0  \Device\Harddisk0\DR0 - copied to quarantine

23:55:04.0544 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine

23:55:04.0544 0x0fe0  \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\drv64 - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine

23:55:04.0559 0x0fe0  \Device\Harddisk0\DR0\TDLFS\drv32 - copied to quarantine

23:55:04.0575 0x0fe0  \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - will be cured on reboot

23:55:04.0575 0x0fe0  \Device\Harddisk0\DR0 - ok

23:55:05.0651 0x0fe0  \Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Cure 

23:55:05.0651 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cfg.ini - copied to quarantine

23:55:05.0651 0x0fe0  \Device\Harddisk0\DR0\TDLFS\mbr - copied to quarantine

23:55:05.0667 0x0fe0  \Device\Harddisk0\DR0\TDLFS\bckfg.tmp - copied to quarantine

23:55:05.0667 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cmd.dll - copied to quarantine

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr16 - copied to quarantine

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr32 - copied to quarantine

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0\TDLFS\ldr64 - copied to quarantine

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0\TDLFS\cmd64.dll - copied to quarantine

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0\TDLFS - deleted

23:55:05.0682 0x0fe0  \Device\Harddisk0\DR0 ( TDSS File System ) - User select action: Delete 

23:55:05.0792 0x0fe0  KLMD registered as C:\Windows\system32\drivers\17516469.sys

Schritt 6
Nach Neustart/Reboot des Computers führst Du Schritt 2 bis 4 erneut aus und postest den Report in analoger Weise wie in den Szenarien 1 und 2 beschrieben.

TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen

Wichtig: auf jeden Fall sollte eine Weitere Überprüfung des Systems stattfinden, da ein Rootkit oftmals nicht die alleinige Malware auf dem System ist.

Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?