|
rootkit tdss.d lässt sich nicht entfernen Hallo liebes Trojaner Board Team, haben uns am freitag den tdss.d rootkit einbgefangen. Trotz Internetrecherche und zahlreicher Versuche selbständig das Problem in den Griff zu bekommen lässt sich der Trojaner nicht entfernen. Neu aufsetzen will ich den Compute rnicht, da ich neben den Daten auch viele Programme drauf hab. TDSKiller läuft nicht. Könnt ihr mir da helfen? Lg Alex |
hi Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
|
hi markus, danke für die hilfe anbei die zwei dateien lg alex |
1. wo wurde das rootkit von wem gefunden? 2. ist dieses gerät mit ner recovery funktion ausgestattet oder normale windows cd? |
1. Finden tut es der Antivir beim, BOOT SCAN (auf C: und D: ) Die externe Sicherungsfestplatte ist abgesteckt, aber möglicherweise auch verseucht. 2. Recovery Funktion, hab ich glaub ich schon - allerdings hab ich mich mit der Funktion nie beschäftigt (Es gibt ein Laufwerk D (Recovery) |
Anbei auch das Log bei der C: Prüfung. Avira AntiVir Personal Erstellungsdatum der Reportdatei: Sonntag, 23. Oktober 2011 16:42 Es wird nach 3421795 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : Laufwerkstatt Computername : LAUFWERKSTATTHO Versionsinformationen: BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 02.07.2011 03:50:36 AVSCAN.DLL : 10.0.5.0 57192 Bytes 02.07.2011 03:50:35 LUKE.DLL : 10.3.0.5 45416 Bytes 02.07.2011 03:50:39 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 02.07.2011 03:50:39 AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 06:32:31 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 07:07:09 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 04:50:45 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 07:04:10 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 06:04:55 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 06:07:54 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 09:12:16 VBASE006.VDF : 7.11.13.60 6411776 Bytes 16.08.2011 03:13:46 VBASE007.VDF : 7.11.15.106 2389504 Bytes 05.10.2011 07:38:21 VBASE008.VDF : 7.11.15.107 2048 Bytes 05.10.2011 07:38:22 VBASE009.VDF : 7.11.15.108 2048 Bytes 05.10.2011 07:38:22 VBASE010.VDF : 7.11.15.109 2048 Bytes 05.10.2011 07:38:22 VBASE011.VDF : 7.11.15.110 2048 Bytes 05.10.2011 07:38:22 VBASE012.VDF : 7.11.15.111 2048 Bytes 05.10.2011 07:38:22 VBASE013.VDF : 7.11.15.144 161792 Bytes 07.10.2011 07:38:23 VBASE014.VDF : 7.11.15.177 130048 Bytes 10.10.2011 04:06:38 VBASE015.VDF : 7.11.15.213 113664 Bytes 11.10.2011 04:06:38 VBASE016.VDF : 7.11.16.1 163328 Bytes 14.10.2011 04:06:39 VBASE017.VDF : 7.11.16.34 187904 Bytes 18.10.2011 04:10:53 VBASE018.VDF : 7.11.16.77 139264 Bytes 20.10.2011 09:20:26 VBASE019.VDF : 7.11.16.78 2048 Bytes 20.10.2011 09:20:27 VBASE020.VDF : 7.11.16.79 2048 Bytes 20.10.2011 09:20:27 VBASE021.VDF : 7.11.16.80 2048 Bytes 20.10.2011 09:20:27 VBASE022.VDF : 7.11.16.81 2048 Bytes 20.10.2011 09:20:27 VBASE023.VDF : 7.11.16.82 2048 Bytes 20.10.2011 09:20:27 VBASE024.VDF : 7.11.16.83 2048 Bytes 20.10.2011 09:20:27 VBASE025.VDF : 7.11.16.84 2048 Bytes 20.10.2011 09:20:27 VBASE026.VDF : 7.11.16.85 2048 Bytes 20.10.2011 09:20:27 VBASE027.VDF : 7.11.16.86 2048 Bytes 20.10.2011 09:20:27 VBASE028.VDF : 7.11.16.87 2048 Bytes 20.10.2011 09:20:27 VBASE029.VDF : 7.11.16.88 2048 Bytes 20.10.2011 09:20:27 VBASE030.VDF : 7.11.16.89 2048 Bytes 20.10.2011 09:20:27 VBASE031.VDF : 7.11.16.106 86016 Bytes 21.10.2011 10:25:52 Engineversion : 8.2.6.84 AEVDF.DLL : 8.1.2.1 106868 Bytes 09.01.2011 04:50:46 AESCRIPT.DLL : 8.1.3.81 467322 Bytes 08.10.2011 07:38:29 AESCN.DLL : 8.1.7.2 127349 Bytes 09.01.2011 04:50:46 AESBX.DLL : 8.2.1.34 323957 Bytes 02.06.2011 19:01:16 AERDL.DLL : 8.1.9.15 639348 Bytes 09.09.2011 03:31:48 AEPACK.DLL : 8.2.10.11 684408 Bytes 25.09.2011 14:37:20 AEOFFICE.DLL : 8.1.2.15 201083 Bytes 18.09.2011 14:41:24 AEHEUR.DLL : 8.1.2.180 3748217 Bytes 18.10.2011 04:06:43 AEHELP.DLL : 8.1.17.7 254327 Bytes 01.08.2011 06:16:49 AEGEN.DLL : 8.1.5.9 401780 Bytes 27.08.2011 05:21:39 AEEMU.DLL : 8.1.3.0 393589 Bytes 09.01.2011 04:50:45 AECORE.DLL : 8.1.23.0 196983 Bytes 27.08.2011 05:21:33 AEBB.DLL : 8.1.1.0 53618 Bytes 09.01.2011 04:50:45 AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33 AVPREF.DLL : 10.0.3.2 44904 Bytes 02.07.2011 03:50:35 AVREP.DLL : 10.0.0.10 174120 Bytes 26.05.2011 06:27:15 AVARKT.DLL : 10.0.26.1 255336 Bytes 02.07.2011 03:50:35 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 02.07.2011 03:50:35 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33 NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 02.07.2011 03:50:34 RCTEXT.DLL : 10.0.64.0 98664 Bytes 02.07.2011 03:50:34 Konfiguration für den aktuellen Suchlauf: Job Name..............................: BootSectorTest Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\CCWKRLIB_4ea427d2\4cd568b4.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Durchsuche aktive Programme...........: aus Durchsuche Registrierung..............: aus Suche nach Rootkits...................: aus Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Intelligente Dateiauswahl Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR, Beginn des Suchlaufs: Sonntag, 23. Oktober 2011 16:42 Der Suchlauf über die Masterbootsektoren wird begonnen: Der Suchlauf über die Bootsektoren wird begonnen: Masterbootsektor HD0 [FUND] Enthält Code des Bootsektorvirus BOO/TDss.D [WARNUNG] Der Sektor konnte nicht neu geschrieben werden! Ende des Suchlaufs: Sonntag, 23. Oktober 2011 16:42 Benötigte Zeit: 00:05 Minute(n) Der Suchlauf wurde vollständig durchgeführt. 0 Verzeichnisse wurden überprüft 0 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 0 Dateien ohne Befall 0 Archive wurden durchsucht 1 Warnungen 0 Hinweise |
ok, dass problem ist, wenn wir die mbrs neu schreiben wird die recovery partition nutzlos. außerdem kann dabei einiges schief gehen. deswegen besorge dir ne vollwertige windows cd oder frag direkt beim hersteller ob sie dir ersatz schicken, also cds für die recovery funktion. bevor du sowas nicht hast, würde ich ungern weiter machen |
hi, hab die orginal verpackte recovery Disc gefunden und halte sie in händen. Vista Home Premium SP1 Lg Alex |
ok, deaktiviere mal autorun: Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de und sichere dann alle wichtigen dateien. wäre durchaus möglich dass der pc später nicht mehr bootet. |
bin grad dabei. Kann die externe Festplatte auch verseucht sein? Sie war zum Zeitpunkt der Verseuchung angeschlossen? |
sei doch mal so gut und scanne mit avira, dann wissen wirs. |
So wie ich das sehe nicht. Denn egal welches Laufwerk ich für die Bootsektorüberprüfung anwähle C/D oder J (externe) es kommt immer Letzter Fund Masterbootsektor HD1 Danach als Ergebnis dass der Masterbootsektor HD0 verseucht ist Als Anhang das Ergebnis. |
kein anhang da, aber wenns hd0 ist, passt das und du kannst weiter sichern. |
Die Sicherung ist in ein paar Minuten abgeschlossen. |
|
Kein Ergebnis (der ist blitzschnell, als wenn er gar nichts scannen würde): Norman TDSS Cleaner Version 2.0.2 Copyright © 1990 - 2010, Norman ASA. Built 2010/11/12 12:32:24 Scan started: 2011/10/23 19:21:36 Running pre-scan cleanup routine: Operating System: Microsoft Windows Vista 6.0.6002 Service Pack 2 Logged on user: LAUFWERKSTATTHO\Laufwerkstatt Scanning kernel... Scan complete |
sorry, der hier sollte es eig sein: http://www.trojaner-board.de/82358-t...entfernen.html |
das programm lässt sich leider nicht starten. ich komme nach doppelklick noch zur benutzerkontensteuerung ("zur fortsetzung des programms ist ihre zustimmung erforderlich"); nach fortsetzen geschieht nichts mehr |
ok. combofix: Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde! Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
|
hat länger gedauert. anbei die datei |
nicht so wie geplant... bitte Esage Lab // cyber weaponry research - Resources herunterladen. entpacke das archiv in einen eigenen ordner. doppelklick in dem ordner auf remove.exe. Ein schwarzes Fenster wird sich öffnen und automatisch nach bösartigen Veränderungen im MBR suchen. bitte log posten |
die datei heißt rk_remover.exe ? Igrendwie gibts auf der Seite mehrere Programme Den TDSS_Remover und den bootkit_remover Beim TDSS Remover gibt es zwei Programme rk_remover und TDL3_extract Beim Bootkit Remover Boot_cleaner |
versuch mal den rk_remover passt zwar nicht zu meiner anleitung, aber könnte klappen |
beim ausfürhen des programms kam kurzer bluescreen danach durchstart soll ich noch mal das programm ausführen und eventuell die antivirenprogramme abschalten ? |
ja sicher immer alle laufenden programme aus, alle offenen fenster schließen und auch das was neben der uhr im infobereich läuft mit rechtsklick deaktivieren. |
guten abend, hab grad noch einmal rk_remover laufen lassen. wieder selbes ergebnis. nach starten und initialisierung wird abgebrichen blue screen (meldung to avoid damage): BAD BOOT SECTOR anbei auch das log |
bitte mal den bootkit remover nutzen: Esage Lab // cyber weaponry research - Resources |
das Programm hat offensichtlich angeschlagen. soweit ich das nachvollziehen kann müßte ich remover.exe fix c: aufrufen. aber das programm ist nicht im ordner ausgabe: Bootkit Remover (c) 2009 Esage Lab www.esagelab.com Program version: 1.2.0.1 OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6 002), 32-bit System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00100000 Size Device Name MBR Status -------------------------------------------- 931 GB \\.\PhysicalDrive0 Controlled by rootkit! Boot code on some of your physical disks is hidden by a rootkit. To disinfect the master boot sector, use the following command: remover.exe fix <device_name> To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] Done; Press any key to quit... |
start ausführen (suchen) "%userprofile%\Desktop\remover.exe" fix \\.\PhysicalDrive0 enter sollte klappen, starte danach neu, und noch mal das programm ausführen, neues log anhängen |
verzeih meine blöde frage: meinst du das rk_remover, das zuerst abgestürzt ist ? ein programm namens remover hab ich nicht. das rk_remover ist im ordner downloads unter dem subordner tdss_remover_latest vielleicht war das ein problem? |
hab es nun in der cmdline mit dem rk_remover.exe probiert, aber da stürzt der computer wieder mit bluescreen ab (wie letztens). woher bekomme ich den remover.exe (auf der angegebenen seite war er nicht)? |
ich meine den bootkit remover. leg den mal auf den desktop dann klappts |
der heißt bei mir bootcleaner führ das mal durch Ergebnis von: Microsoft Windows [Version 6.0.6002] Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten. "%userprofile%\Desktop\boot_cleaner.exe" fix \\.\Physical Drive0 Bootkit Remover (c) 2009 Esage Lab www.esagelab.com Program version: 1.2.0.1 OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6 002), 32-bit System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00100000 Restoring boot code at \\.\PhysicalDrive0... ERROR: No standard boot code found for your OS. You can restore boot code only for Windows XP, Server 2003, Vista, Server 2008 a nd Windows 7 Done; Press any key to quit... |
|
der findet den Code, könnte unter option 2 den mbr neu schreiben lassen ... |
das ist der plan :-) schau obs klappt bitte. |
schaut so aus. er hat den mbr neu als windows vista geschrieben. neu starten? |
jo und mal gucken ob avira noch anschlägt |
nö ist leider immer noch drauf :-( |
lass das mbr tool noch mal laufen bitte. bzw kannst du dir ne vista cd borgen, keine recovery ne richtige? du hattest ja ne recovery cd wenn ich das richtig gelesen hab |
du meinst mbrcheck.exe oder was verstehst du unter mbr tool vista cd hör ich mal um |
http://ad13.geekstogo.com/MBRCheck.exe das von eben, mit rechtsklick, als admin starten. log anhängen. |
anbei das log |
anbei das richtige log |
kannst du mir mal nen dump erstellen mit option 1 [1] Dump the MBR of a physical disk to file. vergib nen namen, und die dateisollte im selben verzeichniss wie die mbrcheck.exe gespeichert werden. mbr mal hochladen: http://www.trojaner-board.de/54791-a...ner-board.html |
Das Dump ziehen hat sich jetzt schon 4 mal wiederholt ?! Kein Ende in Sicht. Brauchst Du alle Dumps. |
gibts ne problem meldung? eig sollte das nur einmal passieren, lass ihn mal noch n paar mal probieren |
nein. Eigentlich schreibt er alles ok. bin leider jetzt weg. Bist Du morgen ONLINE? |
jepp. wenn der mbr auf den desktop erstellt wurde, dann lad ihn mir noch rasch im upload channel hoch, dauert nicht lange |
bin noch mal zurückgefahren. erster dump hochgeladen. bin noch 30 Minuten da ;-) |
ok, na wir können ja sowieso erst weiter wenn ne windows cd da ist. |
das mit der windows cd schaut schlecht aus. außerdem ist morgen hier feiertag ... der avir schreit beim dump_1 immer dass er den tdss.d gefunden hat soll ich die datei auch hochladen? lg alex |
ne die dumps kannst du wieder löschen. hmm dann versuchen wir halt mit deiner windows dvd neu aufzusetzen und schauen ob die den mbr neu schreibt. daten gesichert hast du ja oder? |
ja, gesichert ist alles -nach besten wissen und gewissen :-) |
schau mal ob du mit deiner cd folgendes ausführen kannst: Beheben und Reparieren von Startproblemen in Windows Vista mit dem Hilfsprogramm "Bootrec.exe" in der Windows-Wiederherstellungsumgebung und damit den mbr neu schreiben |
daa klappt alles. Soll ich nur bootrec.exe /fixmbr schreiben Oder davor auch bootrec.exe /fixboot Alex |
kannst beides nutzen. |
Uff, Erfolg! :applaus: Der Virus ist weg. Der nachfolgende Antivirenscan brachte keinerlei Auffälligkeiten mehr. :dankeschoen: |
wie siehts aus, machst du onlinebanking, shopping einkäufe oder sonst was wichtiges mit dem pc? |
ja. allerdings während der verseuchung nicht. würde alle passwörter ändern. gibts noch eine weitere empfehlung. |
naja, bei rootkits kann man sich niemals 100 %ig sicher sein, dass wir das system sauber bekommen, also ist onlinebanking mit nem risiko verbunden, weswegen ich den pc an deiner stelle neu aufsetzen würde. eigendlich geht das mit dem mbr reinigen schneller, sorry dass das bei dir so lange gedauert hatt, aber dies war ein schritt, den wir als erstes erledigen mussten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board