Hallo,

mein AntiVirus Programm meldet sich im 10 Minutentakt mit folgender Meldung:
"In der Datei 'C:\Windows\System32\tdlclk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/PCK.Tdss.Z.230' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern"

Mit AVZ hab ich bereits die beiden Log Dateien virusinfo_syscure und virusinfo_syscheck erstellt, diese habe ich bereits angehängt.

Hoffe ihr könnt mir helfen.

Hallo und

Mit AVZ ist hier im TB nur undoreal richtig vertraut. Ich kann ihm mal ne PN schicken und fragen ob er Deine AVZ-Logs auswertet oder Du arbeitest mit "meinen" Tools:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo,

ich habe jetzt mal mit "deinen"Tools gearbeitet. Sprich mit Malwarebytes Anti-Malware und RSIT.

Hier der Link zur Zip-Datei:
File-Upload.net - Log.rar

Danke für die Hilfe.

Gruß,
Sebastian

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Im Anhang befindet sich der Scanbericht von Lop S&D.

Bitte mal den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger als gehweg.exe => File-Upload.net - gehweg.exe auf den Desktop

2.) Doppelklick die Datei "gehweg.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\Windows\system32\drivers\adfs.sys
C:\Windows\system32\drivers\a36xtqxp.sys
C:\Windows\system32\drivers\ahqbtnl1.sys

Drivers to delete:
adfs
a36xtqxp
ahqbtnl1
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\system32\drivers\adfs.sys" not found!
Deletion of file "C:\Windows\system32\drivers\adfs.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\drivers\a36xtqxp.sys" not found!
Deletion of file "C:\Windows\system32\drivers\a36xtqxp.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Windows\system32\drivers\ahqbtnl1.sys" not found!
Deletion of file "C:\Windows\system32\drivers\ahqbtnl1.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "adfs" deleted successfully.

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\a36xtqxp" not found!
Deletion of driver "a36xtqxp" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ahqbtnl1" not found!
Deletion of driver "ahqbtnl1" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Die Meldung von meinem AntiVirus Programm erscheint auch weiterhin.
Kann man da noch was machen?

Bitte Combofix anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich hab folgendes Problem:

Während ComboFix läuft kommt plötzlich ein blue Screen mit folgender Meldung:
"A problem has been detected and windows has been shut down to protect damage to yout computer.
.
.
.
.
.
.
Technical information:
STOP: 0X0000008E( 0XC0000005, 0X81ECF1AB, 0X9DDC4B9C, 0X00000000)"

Das passiert bei jedem Versuch ComboFix durchlaufen zulassen.

Gruß,
Sebastian

Dass tdss Rootkit macht uns z.Zt ziemlich viele Probleme
Probier mal bitte Folgendes:


Leg Deine Windows CD ins optische Laufwerk ein. Starte den Computer neu. Er sollte nun von der CD booten ("Drücken Sie eine beliebige Taste um von CD zustarten ...")

Starte die Wiederherstellungskonsole (Windows reparieren). (Taste R) => Screenshot
Dort startest du die Eingabeaufforderung und gibst folgenden Befehl ein (mit Enter bestätigen.)

Code: Alles auswählenAufklappen

ATTFilter

ren C:\windows\system32\drivers\atapi.sys atapi.bad
         

Anschließend diesen Befehl, X steht für den Laufwerksbuchstaben Deines Laufwerks, in dem die Windows-CD steckt, auch wieder mit Enter bestätigen.

Code: Alles auswählenAufklappen

ATTFilter

expand X:\i386\atapi.sy_ C:\windows\systrem32\drivers\atapi.sys
         

Starte den Computer neu (Befehl exit in der Konsole ausführen) und nimm die CD aus dem Laufwerk sodass er wieder ganz normal Windows startet. Probier danach bitte einen neuen Durchlauf mit Combofix.

Sry, mir fällt jetzt erst auf, dass der 2. Befehl einen kleinen Fehler enthält. So ist er richtig:

Code: Alles auswählenAufklappen

ATTFilter

expand x:\i386\atapi.sy_ c:\windows\system32\drivers\atapi.sys
         

Ich hab ein MSI Notebook mit Windows Vista, wenn ich den PC neu starte mit der Windows DVD, dann erscheint ein Menü von MSI zum widerherstellen. Dort gibt es nur ein Menüpunkt: Fail-Safe Recovery.
Bei aufführung von diesem Punkt kommt die Warnung das alle Daten auf der Festplatte gelöscht werden.
Gibt es da eine Chance das ich Windows widerherstellen kann ohne das alles gelöscht wird.

Danke für die Hilfe

Hm das ist jetzt ein bisschen ungünstig
Hast Du die Möglichkeit Dir ein BartPE zu erstellen? Alternativ könntest Du es auch mit einer Live-CD auf Basis von Linux probieren. Dort sollte man problemlos die wahrscheinlich vom Rootkit ersetzte Datei atapi.sys durch eine originale atapi.sys von Vista austauschen können.
Hast Du einen zweiten Rechner um die ISO-Datei von Parted Magic zu laden und zu brennen?

Dort können wir dann auch gleich diese tdlclk.dll lsöchen, im Linux-System wird das Rootkit nicht aktiv sein, so dass wir die Dateien da sehen können.

Hallo zusammen, hier sind auch meine LOGs.
ich hoffe ihr könnt mir helfen.