Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.04.2010, 08:07   #1
asterix2005
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Hallo zusammen,

ich gestern bei einer Intensitsuche mit KasperskyInternetSecurity die Malware "Rootkit.Win32.TDSS.d" gefunden. Kaspersky gibt die Auswahl "spezieller Desinfektionsvorgang mit anschließendem Neustart des Computers" vor. Nach dem Neustart besteht der Fehler immer noch.

Ich bin im Forum auf das Programm TDSSKiller.exe gestoßen. Auch nach Ausführung des Programmes wird der Virus trotzdem gefunden.

Ich habe heute morgen nochmals den TDSSKiller.exe laufen lassen. Komischerweise gibt es jetzt in dem Prog keinen Hinweis mehr auf einen Neustart, was gestern noch der Fall war.

Folgende Log-Datei wird ausgegeben:

-------------------------------------------------------------------------

08:51:22:828 3156 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
08:51:22:828 3156 ================================================================================
08:51:22:828 3156 SystemInfo:

08:51:22:828 3156 OS Version: 5.1.2600 ServicePack: 3.0
08:51:22:828 3156 Product type: Workstation
08:51:22:828 3156 ComputerName: BUERO-PC
08:51:22:828 3156 UserName: xxxxxxxx xxxxxxxxxxx
08:51:22:828 3156 Windows directory: C:\WINDOWS
08:51:22:828 3156 Processor architecture: Intel x86
08:51:22:828 3156 Number of processors: 2
08:51:22:828 3156 Page size: 0x1000
08:51:22:828 3156 Boot type: Normal boot
08:51:22:828 3156 ================================================================================
08:51:22:843 3156 UnloadDriverW: NtUnloadDriver error 1
08:51:22:843 3156 ForceUnloadDriverW: UnloadDriverW(klmd21) error 1
08:51:22:906 3156 LoadDriverW: Driver already loaded
08:51:22:906 3156 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
08:51:22:906 3156 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
08:51:22:906 3156 wfopen_ex: Trying to KLMD file open
08:51:22:906 3156 wfopen_ex: File opened ok (Flags 2)
08:51:22:906 3156 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
08:51:22:906 3156 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
08:51:22:906 3156 wfopen_ex: Trying to KLMD file open
08:51:22:906 3156 wfopen_ex: File opened ok (Flags 2)
08:51:22:906 3156 Initialize success
08:51:22:906 3156
08:51:22:906 3156 Scanning Services ...
08:51:23:218 3156 Raw services enum returned 346 services
08:51:23:218 3156
08:51:23:218 3156 Scanning Kernel memory ...
08:51:23:218 3156 Devices to scan: 7
08:51:23:218 3156
08:51:23:218 3156 Driver Name: Disk
08:51:23:218 3156 IRP_MJ_CREATE : F763DBB0
08:51:23:218 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:218 3156 IRP_MJ_CLOSE : F763DBB0
08:51:23:218 3156 IRP_MJ_READ : F7637D1F
08:51:23:218 3156 IRP_MJ_WRITE : F7637D1F
08:51:23:218 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:218 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:218 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:218 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:218 3156 IRP_MJ_FLUSH_BUFFERS : F76382E2
08:51:23:218 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:218 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:218 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:218 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:218 3156 IRP_MJ_DEVICE_CONTROL : F76383BB
08:51:23:218 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
08:51:23:218 3156 IRP_MJ_SHUTDOWN : F76382E2
08:51:23:218 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:218 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:218 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:218 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:218 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:218 3156 IRP_MJ_POWER : F7639C82
08:51:23:218 3156 IRP_MJ_SYSTEM_CONTROL : F763E99E
08:51:23:218 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:218 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:218 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:250 3156 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:51:23:250 3156
08:51:23:250 3156 Driver Name: usbstor
08:51:23:250 3156 IRP_MJ_CREATE : F77AC218
08:51:23:250 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:250 3156 IRP_MJ_CLOSE : F77AC218
08:51:23:250 3156 IRP_MJ_READ : F77AC23C
08:51:23:250 3156 IRP_MJ_WRITE : F77AC23C
08:51:23:250 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:250 3156 IRP_MJ_FLUSH_BUFFERS : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_DEVICE_CONTROL : F77AC180
08:51:23:250 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F77A79E6
08:51:23:250 3156 IRP_MJ_SHUTDOWN : 804F9759
08:51:23:250 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:250 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_POWER : F77AB5F0
08:51:23:250 3156 IRP_MJ_SYSTEM_CONTROL : F77A9A6E
08:51:23:250 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:250 3156 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
08:51:23:250 3156
08:51:23:250 3156 Driver Name: Disk
08:51:23:250 3156 IRP_MJ_CREATE : F763DBB0
08:51:23:250 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:250 3156 IRP_MJ_CLOSE : F763DBB0
08:51:23:250 3156 IRP_MJ_READ : F7637D1F
08:51:23:250 3156 IRP_MJ_WRITE : F7637D1F
08:51:23:250 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:250 3156 IRP_MJ_FLUSH_BUFFERS : F76382E2
08:51:23:250 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_DEVICE_CONTROL : F76383BB
08:51:23:250 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
08:51:23:250 3156 IRP_MJ_SHUTDOWN : F76382E2
08:51:23:250 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:250 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_POWER : F7639C82
08:51:23:250 3156 IRP_MJ_SYSTEM_CONTROL : F763E99E
08:51:23:250 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:250 3156 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:51:23:250 3156
08:51:23:250 3156 Driver Name: usbstor
08:51:23:250 3156 IRP_MJ_CREATE : F77AC218
08:51:23:250 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:250 3156 IRP_MJ_CLOSE : F77AC218
08:51:23:250 3156 IRP_MJ_READ : F77AC23C
08:51:23:250 3156 IRP_MJ_WRITE : F77AC23C
08:51:23:250 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:250 3156 IRP_MJ_FLUSH_BUFFERS : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_DEVICE_CONTROL : F77AC180
08:51:23:250 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F77A79E6
08:51:23:250 3156 IRP_MJ_SHUTDOWN : 804F9759
08:51:23:250 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:250 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_POWER : F77AB5F0
08:51:23:250 3156 IRP_MJ_SYSTEM_CONTROL : F77A9A6E
08:51:23:250 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:250 3156 C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS - Verdict: 1
08:51:23:250 3156
08:51:23:250 3156 Driver Name: Disk
08:51:23:250 3156 IRP_MJ_CREATE : F763DBB0
08:51:23:250 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:250 3156 IRP_MJ_CLOSE : F763DBB0
08:51:23:250 3156 IRP_MJ_READ : F7637D1F
08:51:23:250 3156 IRP_MJ_WRITE : F7637D1F
08:51:23:250 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:250 3156 IRP_MJ_FLUSH_BUFFERS : F76382E2
08:51:23:250 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:250 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_DEVICE_CONTROL : F76383BB
08:51:23:250 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
08:51:23:250 3156 IRP_MJ_SHUTDOWN : F76382E2
08:51:23:250 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:250 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:250 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:250 3156 IRP_MJ_POWER : F7639C82
08:51:23:250 3156 IRP_MJ_SYSTEM_CONTROL : F763E99E
08:51:23:250 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:250 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:250 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:265 3156 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:51:23:265 3156
08:51:23:265 3156 Driver Name: Disk
08:51:23:265 3156 IRP_MJ_CREATE : F763DBB0
08:51:23:265 3156 IRP_MJ_CREATE_NAMED_PIPE : 804F9759
08:51:23:265 3156 IRP_MJ_CLOSE : F763DBB0
08:51:23:265 3156 IRP_MJ_READ : F7637D1F
08:51:23:265 3156 IRP_MJ_WRITE : F7637D1F
08:51:23:265 3156 IRP_MJ_QUERY_INFORMATION : 804F9759
08:51:23:265 3156 IRP_MJ_SET_INFORMATION : 804F9759
08:51:23:265 3156 IRP_MJ_QUERY_EA : 804F9759
08:51:23:265 3156 IRP_MJ_SET_EA : 804F9759
08:51:23:265 3156 IRP_MJ_FLUSH_BUFFERS : F76382E2
08:51:23:265 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F9759
08:51:23:265 3156 IRP_MJ_SET_VOLUME_INFORMATION : 804F9759
08:51:23:265 3156 IRP_MJ_DIRECTORY_CONTROL : 804F9759
08:51:23:265 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 804F9759
08:51:23:265 3156 IRP_MJ_DEVICE_CONTROL : F76383BB
08:51:23:265 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : F763BF28
08:51:23:265 3156 IRP_MJ_SHUTDOWN : F76382E2
08:51:23:265 3156 IRP_MJ_LOCK_CONTROL : 804F9759
08:51:23:265 3156 IRP_MJ_CLEANUP : 804F9759
08:51:23:265 3156 IRP_MJ_CREATE_MAILSLOT : 804F9759
08:51:23:265 3156 IRP_MJ_QUERY_SECURITY : 804F9759
08:51:23:265 3156 IRP_MJ_SET_SECURITY : 804F9759
08:51:23:265 3156 IRP_MJ_POWER : F7639C82
08:51:23:265 3156 IRP_MJ_SYSTEM_CONTROL : F763E99E
08:51:23:265 3156 IRP_MJ_DEVICE_CHANGE : 804F9759
08:51:23:265 3156 IRP_MJ_QUERY_QUOTA : 804F9759
08:51:23:265 3156 IRP_MJ_SET_QUOTA : 804F9759
08:51:23:265 3156 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
08:51:23:265 3156
08:51:23:265 3156 Driver Name: atapi
08:51:23:265 3156 IRP_MJ_CREATE : 89895AC8
08:51:23:265 3156 IRP_MJ_CREATE_NAMED_PIPE : 89895AC8
08:51:23:265 3156 IRP_MJ_CLOSE : 89895AC8
08:51:23:265 3156 IRP_MJ_READ : 89895AC8
08:51:23:265 3156 IRP_MJ_WRITE : 89895AC8
08:51:23:265 3156 IRP_MJ_QUERY_INFORMATION : 89895AC8
08:51:23:265 3156 IRP_MJ_SET_INFORMATION : 89895AC8
08:51:23:265 3156 IRP_MJ_QUERY_EA : 89895AC8
08:51:23:265 3156 IRP_MJ_SET_EA : 89895AC8
08:51:23:265 3156 IRP_MJ_FLUSH_BUFFERS : 89895AC8
08:51:23:265 3156 IRP_MJ_QUERY_VOLUME_INFORMATION : 89895AC8
08:51:23:265 3156 IRP_MJ_SET_VOLUME_INFORMATION : 89895AC8
08:51:23:265 3156 IRP_MJ_DIRECTORY_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_FILE_SYSTEM_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_DEVICE_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_INTERNAL_DEVICE_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_SHUTDOWN : 89895AC8
08:51:23:265 3156 IRP_MJ_LOCK_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_CLEANUP : 89895AC8
08:51:23:265 3156 IRP_MJ_CREATE_MAILSLOT : 89895AC8
08:51:23:265 3156 IRP_MJ_QUERY_SECURITY : 89895AC8
08:51:23:265 3156 IRP_MJ_SET_SECURITY : 89895AC8
08:51:23:265 3156 IRP_MJ_POWER : 89895AC8
08:51:23:265 3156 IRP_MJ_SYSTEM_CONTROL : 89895AC8
08:51:23:265 3156 IRP_MJ_DEVICE_CHANGE : 89895AC8
08:51:23:265 3156 IRP_MJ_QUERY_QUOTA : 89895AC8
08:51:23:265 3156 IRP_MJ_SET_QUOTA : 89895AC8
08:51:23:265 3156 Driver "atapi" infected by TDSS rootkit!
08:51:23:265 3156 C:\WINDOWS\system32\drivers\tsk2D.tmp - Verdict: 3
08:51:23:265 3156
08:51:23:265 3156 Completed
08:51:23:265 3156
08:51:23:265 3156 Results:
08:51:23:265 3156 Memory objects infected / cured / cured on reboot: 1 / 0 / 0
08:51:23:265 3156 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
08:51:23:265 3156 File objects infected / cured / cured on reboot: 0 / 0 / 0
08:51:23:265 3156
08:51:23:265 3156 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
08:51:23:265 3156 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
08:51:23:265 3156 UnloadDriverW: NtUnloadDriver error 1
08:51:23:265 3156 KLMD(ARK) unloaded successfully

--------------------------------------------------------------------------

Kann mir jemand einen Tipp geben, was ich noch machen kann ?

ThanX

asterix2005

Alt 09.04.2010, 08:54   #2
Chris4You
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Hi,

hast Du noch das Log vom ersten Lauf?
Bei der Bereinigung ging was schief, wahrscheinlich ist auch der Reg.-Key verbogen...

Wie folgt vorgehen:

XP-CD einlegen und von ihr in die Rettungskonsole booten, dort dann:
Per Hand Treiber kopieren (atapi.sys etc.)
Code:
ATTFilter
expand c:\WINDOWS\ServicePackFiles\i386\atapi.sy_ c:\windows\system32\atapi.sys
oder
expand X:\i386\atapi.sy_ c:\windows\system32\atapi.sys
         
Wobei "X" Dein CD/DVD-Laufwerk ist!

Kopiere dann noch die saubere c:\windows\system32\atapi.sys auf diese Datei
C:\WINDOWS\system32\drivers\tsk2D.tmp

Neu Booten und TDSkiller noch mal ausführen...

Rettungskonsole booten:
Bei nicht installiertere Rettungskonsole:
Als erstes die XP-CD ins Laufwerk legen und dann die Bootreihenfolge im BIOS auf CD umstellen.
Danach von der XP-CD booten. Bei der Anzeige der Willkommensseite des Installationsprogramms die Taste [R] drücken, um die Wiederherstellungskonsole zu starten.

chris
__________________

__________________

Geändert von Chris4You (09.04.2010 um 09:24 Uhr)

Alt 09.04.2010, 15:19   #3
asterix2005
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Hey Chris,
vielen Dank für den Tipp. Ich konnte in der Rettungskonsole die atapi.sy_ nicht expandieren. Nach ein paar planlosen Lösch- und Kopierversuchen auf DOS-Ebene ging dann gar nichts mehr.
Glücklicherweise hatte ich noch vom Februar eine Ghost-Sicherung. Nach der Rücksicherung war der Rootkit.Win32.TDSS.d nicht mehr da.
Trotzdem vielen Dank für Deinen Bemühungen.
Gruß
asterix2005
__________________

Alt 10.04.2010, 17:34   #4
Chris4You
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Hi,

was genau war die Ursache für die Probleme (wieso lies sich die Datei nicht expandieren)? Ev. muss ich was ändern oder vielleicht nicht verständlich genug beschriebenß

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 12.04.2010, 08:34   #5
asterix2005
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

was genau war die Ursache für die Probleme (wieso lies sich die Datei nicht expandieren)? Ev. muss ich was ändern oder vielleicht nicht verständlich genug beschriebenß

chris
-------------------------------------------------------------------------

Hey Chris,
ich bin in die Rettungskonsole und habe die beschriebenen Eingaben vorgenommen. Jedoch wurde EXPAND nicht ausgeführt. Es kam nur die Meldung, daß 0 Objekte (oder so ähnlich) ausgeführt wurden. Die atapi.sys wurde nicht erstellt. Ich habe dann Windows gestartet und bin über Ausführen --> CMD in die Eingabemaske. Dort ging EXPAND. Hatte aber keinen Einfluß auf den Rootkit. Bin dann wieder in die Rettungskonsole und hab die atapi.sys aus allen Verzeichnissen gelöscht und dann ging beim nächsten Start gar nichts mehr.
Wie gesagt, lag das Prob an der Funktion EXPAND, die in der Rettungskonsole nicht ausgeführt wurde.
Gruß
asterix2005


Alt 12.04.2010, 09:29   #6
Chris4You
 
Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Standard

Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !



Hi,

hmm, das wunder mich. Konntest Du auf die Festplatte zugreifen, als Du von CD gebootet hattest? Der expand-befehl sollte zur Verfügung stehen:
http://support.microsoft.com/kb/307654/de
Die atapi.sys zu löschen war keine gute Idee, da dass ja der Festplattentreiber ist...
Besser wäre gewesen von Windows aus zu starten, dann eine Commandshell zu starten, dort dann die atapi.sys von CD in ein anderes
Verzeichnis auspacken (z. B.: c:\temp), dann von CD booten und versuchen den sauberen Treiber an die richtige Stelle zu kopieren (c:\windows\system32\drivers)... Nehme den Passus noch auf...

chris
__________________
--> Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !

Geändert von Chris4You (12.04.2010 um 09:37 Uhr)

Antwort

Themen zu Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !
config, control, down, error, fehler, file, forum, hallo zusammen, infected, information, intel, log-datei, löschen, malware, neustart, nicht löschen, power, programm, reboot, rootkit.win32.tdss, rootkit.win32.tdss.d, security, shutdown, suche, system32, tool, version, virus, write



Ähnliche Themen: Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !


  1. Win7: Iminent läßt sich nicht löschen...
    Log-Analyse und Auswertung - 08.01.2014 (3)
  2. Malware läßt sich mal wieder nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 21.11.2013 (2)
  3. Wallpaper läßt sich nicht löschen
    Alles rund um Windows - 27.05.2013 (5)
  4. Delta search läßt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 06.04.2013 (11)
  5. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  6. claro search läßt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 14.11.2012 (29)
  7. AW: TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Mülltonne - 05.10.2011 (0)
  8. rootkit.win32.tdss.d lässt sich nicht löschen oder desinfizieren!
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (43)
  9. Rootkit.Win32.TDSS.d lässt sich nicht entfernen!
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (15)
  10. Rootkit.Win32.TDSS.d - Komme nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  11. TDSSKiller: Google Umleitungen, TDSS, TDL3, Alureon rootkit entfernen
    Anleitungen, FAQs & Links - 19.01.2010 (2)
  12. Rootkit.Win32.Podnuha.bhm lässt sich nicht löschen.
    Mülltonne - 26.11.2008 (0)
  13. Adware und Trojaner läßt sich nicht löschen
    Log-Analyse und Auswertung - 16.06.2007 (21)
  14. Trojaner läßt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 21.10.2006 (3)
  15. PSGuard läßt sich nicht aus der Registry löschen
    Log-Analyse und Auswertung - 28.11.2005 (42)
  16. ahf.dll läßt sich nicht löschen
    Log-Analyse und Auswertung - 18.02.2005 (1)
  17. PDSched.exe läßt sich nicht löschen
    Plagegeister aller Art und deren Bekämpfung - 24.08.2004 (3)

Zum Thema Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! - Hallo zusammen, ich gestern bei einer Intensitsuche mit KasperskyInternetSecurity die Malware "Rootkit.Win32.TDSS.d" gefunden. Kaspersky gibt die Auswahl "spezieller Desinfektionsvorgang mit anschließendem Neustart des Computers" vor. Nach dem Neustart besteht der - Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen !...
Archiv
Du betrachtest: Rootkit.Win32.TDSS.d läßt sich mit TDSSKiller.exe nicht löschen ! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.