Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit TDSS entfernen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.09.2009, 12:04   #1
Angel21
 
Rootkit TDSS entfernen - Standard

Rootkit TDSS entfernen



Gehe auf dein Arbeitsplatz im PC -> Oben auf "Extras" -> Ordneroptionen-> "Ansicht" -> "Geschützte Systemdatein ausblenden (empfohlen)" = Haken weg -> "Alle Datein und Ordner anzeigen" Haken rein.

Lade nun folgende untenstehende Datein, die in den Code tags stehen bei VirusTotal - Free Online Virus and Malware Scan hoch, poste das Ergebnis mit Md5 und Sha. Falls nicht alles passen, sollte, dann teile die Ergebnise auf mehrere Beiträge auf.

Code:
ATTFilter
C:\WINDOWS\6833245EDD86479A882A8360D62C8194.TMP
C:\WINDOWS\system32\inetsrv
C:\WINDOWS\system32\drivers\mnqxisqxnoixvpop.sys
C:\WINDOWS\system32\drivers\oqmcrevxylbesvmb.sys
C:\WINDOWS\system32\drivers\timiqufniwtixnse.sys
C:\WINDOWS\system32\drivers\tvxyecrnmsrnsiuw.sys
         

Azureus -> Ich würde dir empfehlen es zu deinstallieren, das Programm ist zwar an sich nicht schädlich, aber dadurch kann man sich verseuchte Datein herunterladen.
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 27.09.2009, 12:20   #2
Laxatron
 
Rootkit TDSS entfernen - Standard

Rootkit TDSS entfernen



Hallo Angel,

also erstmal zum ersten Eintrag mit der Endung *.TMP, das ist ein Ordner der die Datei WiseCustomCalla.dll beinhaltet.
Diese habe ich jetzt gesendet und scannen lassen, Ergebnis:

Code:
ATTFilter
a-squared 4.5.0.24 2009.09.27 - 
AhnLab-V3 5.0.0.2 2009.09.26 - 
AntiVir 7.9.1.25 2009.09.25 - 
Antiy-AVL 2.0.3.7 2009.09.27 - 
Authentium 5.1.2.4 2009.09.26 - 
Avast 4.8.1351.0 2009.09.26 - 
AVG 8.5.0.412 2009.09.27 - 
BitDefender 7.2 2009.09.27 - 
CAT-QuickHeal 10.00 2009.09.26 - 
ClamAV 0.94.1 2009.09.27 - 
Comodo 2451 2009.09.27 - 
DrWeb 5.0.0.12182 2009.09.27 - 
eSafe 7.0.17.0 2009.09.24 - 
eTrust-Vet 31.6.6763 2009.09.27 - 
F-Prot 4.5.1.85 2009.09.26 - 
F-Secure 8.0.14470.0 2009.09.26 - 
Fortinet 3.120.0.0 2009.09.27 - 
GData 19 2009.09.27 - 
Ikarus T3.1.1.72.0 2009.09.27 - 
Jiangmin 11.0.800 2009.09.27 - 
K7AntiVirus 7.10.855 2009.09.26 - 
Kaspersky 7.0.0.125 2009.09.27 - 
McAfee 5753 2009.09.26 - 
McAfee+Artemis 5753 2009.09.26 - 
McAfee-GW-Edition 6.8.5 2009.09.27 - 
Microsoft 1.5005 2009.09.23 - 
NOD32 4461 2009.09.27 - 
Norman 6.01.09 2009.09.26 - 
nProtect 2009.1.8.0 2009.09.27 - 
Panda 10.0.2.2 2009.09.26 - 
PCTools 4.4.2.0 2009.09.25 - 
Prevx 3.0 2009.09.27 - 
Rising 21.48.62.00 2009.09.27 - 
Sophos 4.45.0 2009.09.27 - 
Sunbelt 3.2.1858.2 2009.09.26 - 
Symantec 1.4.4.12 2009.09.27 - 
TheHacker 6.5.0.2.019 2009.09.26 - 
TrendMicro 8.950.0.1094 2009.09.25 - 
VBA32 3.12.10.11 2009.09.25 - 
ViRobot 2009.9.26.1958 2009.09.26 - 
VirusBuster 4.6.5.0 2009.09.26 - 


File size: 155648 bytes 
MD5...: 4289e98b574fdfd53a04a0ae6d54765e 
SHA1..: 518a7987fe3a465a86e1a05353617e89c5206644 
SHA256: a0f135f8d77e69d34c9b78390e2e02de3280cb30fd00d236fdcc6e5ae2724a91 
ssdeep: 3072:QM8gg/NQnqd/fWOZ0Vx2s8wDMTWlobBSDc4R:egaQnuHWu2c08/bj
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3a09
timedatestamp.....: 0x456ca109 (Tue Nov 28 20:50:17 2006)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14ad4 0x15000 6.57 d1f1b51b250365bbe6966ce849ea5d8b
.rdata 0x16000 0x5510 0x6000 4.66 167ffafd1c143837e13bd975d608827f
.data 0x1c000 0x5014 0x2000 3.45 e39b8c4713185bd4007531b4dfc20be6
.rsrc 0x22000 0x3b48 0x4000 3.29 a0f1ce5193c597e5cd6aa230baa9c853
.reloc 0x26000 0x3b9a 0x4000 3.40 2b4bdec4a1ee679c80aca327d43e171b

( 9 imports ) 
> KERNEL32.dll: SetErrorMode, WritePrivateProfileStringA, InterlockedIncrement, GlobalFlags, RaiseException, lstrcmpW, GlobalFindAtomA, GlobalGetAtomNameA, ReadFile, WriteFile, SetFilePointer, FlushFileBuffers, GetCurrentProcess, GetCPInfo, lstrcatA, ExitProcess, HeapAlloc, HeapFree, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind, GetCommandLineA, TerminateProcess, HeapSize, HeapReAlloc, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, HeapDestroy, HeapCreate, VirtualFree, IsBadWritePtr, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, UnhandledExceptionFilter, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, SetStdHandle, InterlockedDecrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, TlsGetValue, EnterCriticalSection, GlobalHandle, GlobalReAlloc, LeaveCriticalSection, LocalAlloc, SetLastError, GlobalFree, GlobalUnlock, lstrcpynA, GlobalAddAtomA, FindResourceA, LoadResource, LockResource, SizeofResource, GetCurrentThread, GetCurrentThreadId, GlobalLock, GlobalAlloc, FreeLibrary, GlobalDeleteAtom, lstrcmpA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, ConvertDefaultLocale, EnumResourceLanguagesA, lstrcpyA, LoadLibraryA, lstrlenA, lstrcmpiA, GetVersion, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, GetLocaleInfoA, GetACP, InterlockedExchange, CreateProcessA, WaitForSingleObject, Sleep, DeleteFileA, RemoveDirectoryA, CloseHandle, GetLastError, FormatMessageA, GetOEMCP, LocalFree
> USER32.dll: CreateWindowExA, GetCapture, WinHelpA, RegisterWindowMessageA, DestroyMenu, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, LoadIconA, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, AdjustWindowRectEx, GetClassInfoA, RegisterClassA, DefWindowProcA, CallWindowProcA, SystemParametersInfoA, IsIconic, GetWindowPlacement, CopyRect, SetWindowPos, ShowWindow, GetClassLongA, GetDlgItem, LoadCursorA, GetSystemMetrics, GetSysColorBrush, GetSysColor, ReleaseDC, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetWindowTextA, SetWindowTextA, GetClassNameA, UnregisterClassA, UnhookWindowsHookEx, MessageBoxA, wsprintfA, GetClassInfoExA, GetMenuItemID, GetMenuItemCount, GetSubMenu, SetMenuItemBitmaps, GetFocus, ModifyMenuA, GetMenuState, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, SetWindowLongA, PostQuitMessage, PostMessageA, SetCursor, SendMessageA, EnableWindow, IsWindowEnabled, GetLastActivePopup, GetWindowLongA, GetParent, ValidateRect, GetCursorPos, PeekMessageA, EnableMenuItem, CheckMenuItem, GetMenuCheckMarkDimensions, LoadBitmapA, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, GetDC
> ADVAPI32.dll: RegCloseKey, RegSetValueExA, RegCreateKeyExA, RegQueryValueA, RegOpenKeyA, RegEnumKeyA, RegDeleteKeyA, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyExA
> COMCTL32.dll: -
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEACC.dll: LresultFromObject, CreateStdAccessibleObject
> GDI32.dll: GetStockObject, OffsetViewportOrgEx, GetDeviceCaps, DeleteObject, SaveDC, RestoreDC, SetBkColor, DeleteDC, SetTextColor, SetMapMode, GetClipBox, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, CreateBitmap, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, SetViewportExtEx
> WINSPOOL.DRV: DocumentPropertiesA, OpenPrinterA, ClosePrinter
> OLEAUT32.dll: -, -, -

( 2 exports ) 
GetExistingPhysXInformation, UnInstallExistingPhysX
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%) 
sigcheck:
publisher....: TODO: _Company name_
copyright....: TODO: (c) _Company name_. All rights reserved.
product......: TODO: _Product name_
description..: TODO: _File description_
original name: readregistry.dll
internal name: readregistry.dll
file version.: 1.0.0.1
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         
__________________


Geändert von Laxatron (27.09.2009 um 12:29 Uhr) Grund: Hab die Scan-Ergebnisse nicht mit reingepackt...

Alt 27.09.2009, 12:23   #3
Laxatron
 
Rootkit TDSS entfernen - Standard

Rootkit TDSS entfernen



Und inetsrv ist ebenfalls ein Ordner, meines Erachtens ist das der IIS-Ordner.
Ich hab hier nen Webserver zu laufen wegen der Autodesk Datenmanagament Lösung, die braucht den IIS zum Arbeiten genauso den SQL-Server.

Ich lad jetzt nicht alle Dateien aus dem inetsrv Ordner hoch, das wär ein bisschen viel
__________________

Alt 27.09.2009, 12:29   #4
Angel21
 
Rootkit TDSS entfernen - Standard

Rootkit TDSS entfernen



Bitte MIT den Funden der 40 AVP Scanner, erst senden, wenn der Ladebalken oben zu Ende ist, sonst hats kein Wert
__________________
Avira Upgrade 10 ist auf dem Markt!
Agressive Einstellung von Avira

What goes around comes around!

Alt 27.09.2009, 12:38   #5
Laxatron
 
Rootkit TDSS entfernen - Standard

Rootkit TDSS entfernen



Hab die Scan-Ergebnisse jetzt mit beigefügt, hatte ich vorher nicht so richtig realisiert das er mit den Scan-Engines das File durchsucht
Ich hab die Ergebnisse nachträglich unten reineditiert, sieht aber so aus als wenn das File ok ist.
Warum erscheint der Thread eigentlich von unten nach oben sortiert? Kann man das irgendwo umbiegen, dass von oben nach unten sortiert wird?

Die Treiberdateien sind nicht mehr vorhanden und auch ähnlich bekloppt benannte Dateien lassen sich nicht auffinden in \%windowsroot%\system32\drivers



P.S.: och nö, Azureus ist echt komfortabel für torrents, hatte allerdings schon überlegt ob ich nicht mal nach nem schlankeren Client Ausschau halte.
Und wo wir schon mal dabei sind, der Webserver kann jetzt eigentlich wieder runter, da ich das Autodesk Datenmanagement sowieso nur zu Testzwecken drauf habe. Werde den IIS dann nach der Aktion runterknüppeln.


Antwort

Themen zu Rootkit TDSS entfernen
.dll, abgesicherten modus, adobe, atapi.sys, c:\windows\temp, cdrom, controlset002, dateien, e-mails, entfernen, hal.dll, i8042prt.sys, immer wieder, logfile, löschen, microsoft, ordner, programme, prozess, registry, rootkit, schadcode, sophos, spam-mails, sptd.sys, symantec, system, system32, tdss, temp, udp, usbport.sys, versteckte dateien, windows, windows\temp, write, zufällig, zwcreatekey, zwopenkey




Ähnliche Themen: Rootkit TDSS entfernen


  1. Nerviges ZeroAccess / TDSS Rootkit (?) entfernen
    Plagegeister aller Art und deren Bekämpfung - 24.07.2015 (1)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. SkyNetBDA_AMD64 (Rootkit.TDSS)
    Log-Analyse und Auswertung - 19.07.2012 (6)
  4. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  5. rootkit tdss.d lässt sich nicht entfernen
    Log-Analyse und Auswertung - 27.10.2011 (60)
  6. AW: TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Mülltonne - 05.10.2011 (0)
  7. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  8. Rootkit.Win32.TDSS.mbr - Wie entfernen?
    Plagegeister aller Art und deren Bekämpfung - 01.11.2010 (13)
  9. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  10. Rootkit.Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 15.04.2010 (28)
  11. TDSS-Rootkit entfernen - wie?
    Plagegeister aller Art und deren Bekämpfung - 07.03.2010 (9)
  12. TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Anleitungen, FAQs & Links - 19.01.2010 (2)
  13. Anleitung Rootkit.TDSS entfernen
    Anleitungen, FAQs & Links - 19.01.2010 (0)
  14. Rootkit.Win32.TDSS.a
    Plagegeister aller Art und deren Bekämpfung - 16.05.2009 (15)
  15. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)

Zum Thema Rootkit TDSS entfernen - Gehe auf dein Arbeitsplatz im PC -> Oben auf "Extras" -> Ordneroptionen-> "Ansicht" -> "Geschützte Systemdatein ausblenden (empfohlen)" = Haken weg -> "Alle Datein und Ordner anzeigen" Haken rein. Lade - Rootkit TDSS entfernen...
Archiv
Du betrachtest: Rootkit TDSS entfernen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.