TDSSSERV blockiert System, RAM und Programme
 

Hi,

ich hab ein Problem:

AntiVir hat in meinen System in der Registry mehrfach den Trojaner "TDSSSERV" gefunden, allerdings erkennt AntiVir diesen Eintrag nicht als Trojaner, sondern hängt sich Regelmäßig auf, wenn es zu diesem Eintrag kommt.

HiiJack This konnte TDSSSERV nicht finden. Auch MalwareBytes brachte nicht den gewünschten erfolg.

Wenn ich meinen PC im abgesicherten Modus starten will, sind alle meine Konten deaktiviert und ich komme nicht rein.

Manuel über RegEdit finde ich nur bei ROOT den TDSSSERV, aber kann ihn nicht löschen. Die anderen TDSSSERV finde ich nicht.

Was soll ih machen?

MfG, .exe-Crack

Hallöle.

Lässt dein Name auf den Ursprung des Schädlings schließen?

Systemanalyse

• Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
  
• Räume mit cCleaner auf. (Punkt 1 & 2)
  
• Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
  
• Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
  
• Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
  
• Unter File -> Database Update Start drücken.
  
• Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
  
• Unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
  
• Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Den Namen hab ich nur, weil er gut klingt, trotzdem schreibe ich keine Cracks...

NUn, wenn ich diese Sysinfo hochlade, gebe ich euch ja tausende Infos über meinen PC, ich hab mir diese Datei mal angeschaut: Da steht rein garnichts über den Rootkit TDSSSERV.

Ach Du benutzt sie nur... :rolleyes:

Die Cracks sin doch jetzt mal nebensache...Das komische Analyse Prog da was mir da empfohlen wurde bringt nix, da steht nix vom TDSSSERV, aber der ist da, belegt RAM und lahmt mein System.

Hallo??!! :teufel1:

Sowas ist eben nicht nur eine Nebensache. Wenn Du dubiose Software wie Cracks benutzt, dann mußt Du mit Befall rechnen.

1. Wenn ich Cracks benutzte, werden sie erst gescant.
2. Den letztem Crack habe ich vor einen Jahr eingesetzt. Mittlereweile ist mein Rechner von illegalen Daten wie Cracks vollkommen befreit.
3. TDSSSERV trat überraschend auf. Der Rechner war vor dem Befall drei Tage lang nicht im Internet (Muss Telefonanlage ausschalten um ins Internet zu gehen)
4. Wenn du mir nicht helfen möchtest, sag es mir einfach.

MfG,

exe-Crack

Dadurch werden sie nicht vetrauenswürdiger!!

Ich helfe Dir bereits, indem ich darauf hinweise, daß Cracks am besten nichtmal mit der Kneifzange anzufassen sind, wenn Du blind alles doppelklickst weil der Virenscanner "Freigabe" erteilt hat, wirst Du früher oder später hier zum Dauergast im TB... :kloppen:

Denk mal drüber nach!

von selber fliegt nichts auf den Rechner.. ;)
Also irgendeinen Fehler hast du gemacht.

Das hat 'ne Systemanalyse so an sich.
Warum möchtest du das denn nicht? Finden sich da evtl. doch noch div. illegale Sachen? :dummguck:
Nicht, dass du hier rechtliche Probleme bekommen würdest aber Ehrlichkeit können deine Helfer hier schon erwarten wenn sie sich die Zeit und Mühe machen deinen von dir zerschossenen Rechner wieder zusammen zu flicken.. :juul:

Hä? :confused: Sollen wir dir nun helfen oder nicht? Meinst du ich poste dir das hier nur so zum Spaß?

Nun, fange ich von oben an zu antworten:

Ich benutzte keine Cracks mehr. Der Rechner wurde schoneinmal neu aufgesetzt und damit alle Cracks etc. gelöscht.

Die LOG gibt infos über tausende von Sachen, nur wo der TDSSSERV sich befindet, nicht.

Ich bin kein PC-Noob dem man entwas über Cracks erklären muss.

Im folgenden Pfad befindet sich der "Sichtbare" TDSSSERV:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TDSSSERV

Dieser ist übrigends gegen löschen geschützt.


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

In beidem oben genannten Verzeichnissen befinden sich weitere TDSSSERV, welche aber in REGEDIT unsichtbar bleiben.

In der LOG File von AVZ steht davon eben nichts. Und aus diesem Grund erkenne ich nicht, warum diese File dann eben nützlich sein soll. Sämmtliche laufende Tasks auf meinen PC sind sicher.

TDSSSERV beinfindet sich im Task Services und ist somit auch im TaskManager gut versteckt. Zudem lässt sich Services ja nicht beenden.

Bye bye.. :piggi:

So dumm sich das anhören mag, aber: Wenn alle laufenden Tasks sicher sind, warum willst du dann tdssserv beenden?

Und auch wenn es eigentlich nicht einsichtig ist, warum wir uns für die geleistete Hilfe rechtfertigen müssen:
Wir brauchen das Log um zu sehen, was alles auf dem Rechner läuft/installiert ist.
Es gibt Kompabilitätsprobleme zwischen bestimmten Tools und einigen Antivirenprogrammen. Wir wollen nur verhindern, dass das Programm auf halben Weg von Antivir abgewürgt wird und deswegen nichts mehr funktioniert.

Außerdem versteh ich nicht so ganz wieso du so ne Angst hast: exe-Crack wird ja wohl nicht dein echter Name sein und wenn du dich an die NUB hältst und alle persönlichen Infos rauseditierst, hat auch keiner ne Chance rauszufinden, wer du wirklich bist.

lg myrtille

lg myrtille

DFTT....:kloppen:

Jetzt würde mich aber interessieren, ob ihr wisst, was TDSSSERV überhaupt ist. Denn ich weiß nur das dieses TDSSSERV RAM belegt und sich vervielfältigt, was es aber genau ist, weiß ich nicht. Und wie schon gesagt: Alle Task sind sicher, außer eben Services, aber den kann ich nicht beenden, weil dieser eben auch die Treiber lädt. Wie wollt ihr mir helfen, ohne zu wissen was TDSSSERV überhaupt ist?

Nehmt das jetzt nicht als beleidigung. Ich möchte hier keinen Streit oder ähnliches.

Aber es ist nunmal so, das ich niemanden, egal aus welchen Gründen Logs von meinem Rechner schicke. Gibt es nicht eine andere Möglichkeit?

Die Programme die ich verwende haben auch keine Probleme miteinander.

Wenn bei dir ja alles i.O. ist, wiso brauchst du dann Hilfe?
Woher soll man wissen was das genau ist wenn du keine Logs posten willst und dir nicht helfen lässt?

ps. Poste eigentlich nicht gerne dazwischen aber musst irgendwie sein:D
Zurück an myrtille, undoreal und root24

Ich rate mal es ist:

h**p://www.prevx.com/filenames/1088998989430477431-0/TDSSSERV.SYS.html
h**p://www.incodesolutions.com/threats2/System32Rootdriverstdssservsys.php

Die Namen des Viruses sind auch auf denn Seiten zu sehen

Na also... Hasts ja selbst rausgefunden *hutab*

Den finde ich besser: tdssserv.sys - Program Information

Rootkit sagt ja wohl alles, das im Zusammenhang mit dem tollen username des TO ist noch aussagekräftiger. :mad:

Das Problem ist ja:

Auf meinen Rechner ist eben keine TDSSSERV.SYS.

Die TDSSSERV ist nur in der Registry zu finden. Und falls sich irgendwo eine TDSSSERV.SYS befinden sollte, ist sie auch unauffindbar.

Wir wissen was TDSSServ ist, wir wissen, dass das Rootkit nur unter Windows 2000, XP und Vista funktioniert, weswegen wir daraus schonmal die Anzahl der möglichen Betriebssysteme die du dir infiziert hast eingrenzen können.
Du glaubst, dass es sich nur um Registryeinträge handelt, wir können dir sagen, dass da auch verschiedene Dateien zugehören.
Außerdem können wir dir sagen, dass das Rootkit in der Regel nicht alleine auf den Rechner kommt, weswegen eine Systemanalyse auch angebracht wäre.

Wenn all die Programme auf deinem Rechner tun, dann lös das Problem mit diesen Programmen. Ich werd dir nichts empfehlen, bevor ich nciht weiß was alles auf diesem Rechner installiert ist. (Software und Malware technisch)

Wenn du aber einfach nur Ruhe aufm Rechner haben willst, dann deinstallier Antivir, deine anderen Programme scheinen ja nicht zu mosern. :rolleyes:

EDIT:
Ja, genau. Sowas nennt sich Rootkit. Die Dateien sind auf deinem Rechner, nur sind sie für die meisten Programme unsichtbar.
Der Dienst existiert und läuft, was nur bestätigt was wir sagten: Du weißt nicht was alles auf deinem Rechner läuft und wir können auf deine Aussage, dass alle laufenden Prozesse gut sind leider nicht vertrauen.

Hallo?! Deswegen ja auch Rootkit:

Gut gemeinter Tipp an den Profi .exe-crack: Setz Dein System nach vorherigem Plattmachen (am besten mit DBAN) neu auf. :party:

Gut. Das TDSSSERV ein Rootkit ist, weiß ich.

---> Es tut mir leid das ich so reagiere. Ihr könnt ja nichts dafür das dieser Rootkit auf meinem System ist <----

Eins noch, bevor ich das LOG hochlade: Ich möchte nicht, das jeder meinen Log einfach so wieder runterlädt. Dieser Thread ist Nr. 1 bei der Google Suche nach "TDSSSERV" (vll auch nur bei mir). Wie kann ich nun verhindern, das sich jeder die Datei bei RapitShare runterlädt?

Am bestem bekommt sie ein PW und jeder der von euch die LOG einsehen möchte, bekommt dieses PW von mir per PN. Währe das in Ordnung?

MfG, .exe-Crack

LINK: Ehhh ich würd ja gerne Hochladen aber da kommt als ne Fehlermeldung:

Die von Ihnen aufgerufene Adresse, h**p://rs268l3.rapidshare.com/cgi-bin/upload.cgi?rsuploadid=142071719781426141, ist zurzeit nicht erreichbar. Bitte überprüfen Sie die korrekte Schreibweise der Webadresse (URL) und versuchen Sie dann die Seite neu zu laden.

Hallo

mir ist kein Fall bekannt, dass es wegen geposteter Logs zu Schwierigkeiten gekommen ist...:juul:

MFG

Du kannst Dir das Hochladen komplett ersparen, es ist sicher, daß Dein System kompromittiert ist - mehr Fakten brauchen wir hier nicht. Dann ist die gesamte von Dir gewünschte Geheimtuerei auch hyperfluid.

Gut, was soll ich dann jetzt machen?

Das Zögern mit dem Posten der benötigten Logfiles gibt den Helfern irgendwie schon das Gefühl, daß der TO mehr zu verbergen hat als sein Rootkit... :teufel1:

OT..Datenschutz wird ja seit der Daten-CD-Krise wieder auf einmal GROSS geschrieben...Seehofer, Beck, Rüttgers, Zypries, Glos, Schäuble und wie die alle heißen setzen sich nun plötzlich für sowas ein.

Kann man der Regierung mal für so ne Heuchelei die Rote Karte zeigen?! :mad:

Nun, das hilft mir auch nicht weiter. Auf meinem PC sind nunmal Daten, die nicht für andere Bestimmt sind. Wobei es sich da nicht um Illegale Daten handelt. Aber wie bekomme ich den TDSSSERV wieder weg und wieder ein normales System, jetzt, wo ich keine LOG hochladen kann.

LINK ZUM LOG:

http://h**p://rapidshare.com/files/1...0/LOG.rar.html

1. Das System vom Internet physikalisch trennen (Kabel ziehen!)
2. Von einer Rettungs-CD wie BartPE oder Knoppix etwaige wichtige Daten (keine ausführbaren Dateien!!) sichern auf externe Medien!
3. Am besten mit DBAN einen schnellen Durchlauf machen um alles auf der Platte zu wipen (löschen)
4. Von vertrauenswürdigen Medien das OS neu aufspielen und erst wieder ins Internet gehen, wenn es abgesichert ist.

Nähere Angaben sind eigentlich nicht möglich, da Du m.W. Dein OS noch nicht erwähnt hast. ;)

Oben steht der LINK zum LOG.

Habt ihr vll die Log schon analysiert?

ich braucht mal das PW sonst kann ich die irrgentwie schlecht analysieren

ach ja haste eine Knoppix CD oder DVD parat mit einer version die NTFS Dateiensystem sicher unterstützt könnte sein das man den damit weg griegt ^^

Ich Hab nebenbei OpenSuse 10.3 installiert. Hab allerdings fehler beim Bootmanager gemacht aber das bekomme ich schnell wieder hin wenns sein muss.

mit dem Linux kannste mal auf der Festplatte auf der Windowspartition gucken ob du die datei finden kannst wenn ja dann ist das nur ein Rootkit was aktive wird wenn windows an ist

Gut. weißt du vll ob ich über den Windows Bootmanager OpenSuse starten kann? Der von OpenSuse selbst hat nen fehler...

über Windows eigenen Bootmanager geht das nicht da Microsoft, Linux nicht wirklich mag

Hi,

deaktivier den TeaTimer von Spybot und lass Malwarebytes deinen Rechner bereinigen.

Welche Bootmanager nutzt die OpenSuse?

lg myrtille

GRUB hab ich ausgewählt Als Bootmanager

Google ist dein Freund. Suse+grub+neu installieren. Da gibt es zahlreiche Treffer.

Aber wenn du eh Windows neuaufsetzen tust, wäre es vllt am einfachsten beides neuaufzusetzen.

lg myrtille

Das ist ja eben das, was ich vermeiden will.

Nun, ich mein eben hat mal jemand geschrieben TDSSSERV befällt nur Windows.

Bin im Moment in OpenSuse auf der Suche nach TDSSSERV. Ich hoffe ihr könnt mir weiterhin helfen.

PS: Keine vorschläge mit Neu aufsetzten mehr. Danke

Folgende Daten fand ich in Windows\System32, aber ich weiß nicht ob diese Daten eine Gefahr sind und zu TDSSSERV gehören, wenn ja, könnte ich sie über LINUX löschen
tdssadw.dll
tdssinit.dll
tdssl.dll
tdsslog.dll
tdssmain.dll
tdssservers.dat

bin gerade auf einen Thema beitrag gestoßen der ebenfalls das problem hatte in diesen Forum: h**p://www.trojaner-board.de/58198-malwarebytes-auswertung.html

Bei dem findet Malware Bytes aber was, bei mir nicht.

Volltreffer die von dir gefundenen dateien stimmen mit Einträgen des anderen Thema Beitrags überein das sind sie.

Unter WindowsPartition:/Windows/System32/drivers

müsste der hauptunruhestifter liegen

Veränder den datentyp von dll zu Backup. Wenn das Windows danach nicht starten sollte musste sie wieder umbenennen.

Alle Dateien?

Gut, weiß noch jemand wie ich mir bei OpenSuse Root Rechte gebe? Das hab ich noch nicht ganz raus.

Die benötige ich um die dATEIEN zu ändern.

haste Opensuse frisch installiert dann ist der rootname: root und das rootpasswort: root

Is nich so frisch, aber ich muss einfach die auto anmeldung deaktivieren und ich kann anstatt als "ICH" als "ROOT" rein oder wie?

das weiß ich jetzt gerade nicht so genau wie man mit root rechten arbeitet aber es müsste irrgentwo im internet stehen

(gefunden) h**p://forum.chip.de/linux/opensuse-11-anmelden-1049500.html
das müsste eigentlich auch für 10.3 funktionieren

Danke. ICh hab schon oft danach gesucht, aber vll Google ich nicht richtig^^

Das hilft mir leider nicht weiter...

So, ich hab die Daten einfach mal über WIndows gelöscht. Wie kann ich sicher gehen das der jetzt komplett weg ist. Ich glaube über HiiJackTHis wurde der HauptRootkit TDSSSERV schon in DRIVERS gelöscht, bin mir aber nicht sicher, konnte übwer LINUX die datei nicht finden, die anderen aber schon. ALso die Nebendaten waren auch über Win sichtbar.

Wie kann ich sicher gehen das das SYS sauber ist?

HiJackThis noch mal drüber jacken dann noch mal Malware Bytes und noch ein Antivieren Programm sollte dann noch was von den gefunden werden löschen

und registrie Einträge die auf den Virus verweisen löschen

Es ist leider so, das die Programme vorher auch nix gefunden haben,
also denke ich das sie auch nachher nichts finden...


!!!!!!!!! AB jetzt kann ich die Reigistry Eintrage von TDSSSERV sehen, ich kann sie nur nicht löschen....


Konnte jetzt zwei Registry Einträge namens: TDSSSERV.SYS löschen.

So garnicht, prizipiell kannst Du nur durchs Neuaufstzen sichergehen, alles Bösartige gelöscht zu haben. Das hab ich Dir aber schonmal erzählt in diesem Strang.

Warum willst / kannst Du nicht neu aufsetzen? Was ist an Deiner Suse-Install so besonders? :balla:

Versteh es doch einfach, ich will das System nicht neu aufsetzten. Weder Windows XP noch OpenSuse 10.3.

Das währe viel Arbeit für die ich einfach im Moment keine Zeit habe.

Ich muss noch ein paar Registry Einträge löschen und der Rootkit ist vollständig entfernt, allerdings kann ich sie nicht löschen. Weiß jemand wie?

Ok. Dann mußt Du aber mit einem instabilen und nicht vertrauenswürdigem OS leben. Rechne auch damit, daß Dein gekapertes Windows als Spamschleuder oder für andere illegale Sachen mißbraucht wird. :rolleyes:

Aber für das zeitintensive Analysieren und Bereinigen ist genug Zeit da? :eek:

Tzzzz... :sleepy:

Sag mir wie ich es sauber bekomme oder, das hatten wir aber glaube ich schonmal, sag mir das du mir nicht helfen willst!

Der TDSSSERV ist zum großteil vernichtet. Er kann seiner Arbeit demnach nicht mehr nachgehen. Ich muss nur noch die gesperrten Registry Einträge löschen.

Die meisten reinigungen habe ich OHNE deine Hilfe vorgenommen. Und das hat grade mal zehn Minuten gedauert. Wenn ich mein Windows wieder so einrichten wöllte wie es ist, würde das (unabhängig vom PC, der ist schnell genug) mindestens drei Stunden dauern.

Das ist natürlich aus das, was mir am meisten Hilft. Wenn du "soviel" Ahnung hast, dann sag mir, wie ich die restlichen Probleme beheben kann.

Sry, aber für mich ist nach diesem Posting Schluß. Soviel Merkbefreiheit hab ich selten erlebt, ich laß ich aber gerne in dem Glauben, ein Rootkit/Backdoor binnen 10 Minuten fast vollständig entfernt zu haben.

Hier etwas Lektüre für Dich:

• Technische Kompromittierung ? Wikipedia
• Homepage von Malte J. Wetz

Ich entnehme deines Hochwissenschaftlichen Post (LOOOOL), das du mir nicht helfen willst.
Zudem ist Wikipedia eine der unsichersten Quellen wenn es um die richtigkeit der Informationen geht.

Das denkst du :)

Ganze 3h? Boah, das ist 1/7 des Lebens einer Eintagsfliege. Mal im Ernst, die Bereinigungen und das Posten hier hat wahrscheinlich 10mal solange gedauert. Dein erster Beitrag war Gestern, 14:31, jetzt haben wir 20:26.

Du hast dich in einem nichtkommerzielen Supportforum wegen einem Problem angemeldet, beachtest aber die Hinweise, Andeutungen, und Quellenbeläge (und damit meine ich NICHT Wikipedia) nicht, außerdem bist du undankbar und teilweise einfach nur frech , dann verlangst du nach Support, obwohl dir schon mehrmals gesagt wurde, das du dein System auf keinen Fall wieder in einen vertrauenswürdigen Zustand bringen kannst. Wenn du ein paar Registryleichen löschst, löschst du nichts, und damit meine ich auch nichts, von dem Backdoor. Diese "ersten" Backdoors werden mesitens einfach dafür genutzt, um eine noch besser getarnte Hintertür einzurichten (falls, aber auch nur falls, du diese dann findest, nimmst du beim löschen wahrscheinlich dein halbes Windows mit), diese erste wird dann einfach nur unbenutzt liegengelassen, damit dann Leute wie du einen Freudentanz machen, weil sie ein unbenutztes File mitsamt Registryeinträgen gelöscht haben :rolleyes:

lg, Sky

Laß ihn doch. Vllt wird ihm ein Licht aufgehen, wenn ihm sein Internetzugang dichtgedreht wird oder die Kripo ihm die Tür eintritt. :heilig: