|
Befall TDSS-X, TDSSPack-L, -K, -O Hallo, hab seit heute Probleme mit Trojanern auf meinem Windows XP-Rechner. Adobe Reader kann keine pdfs mehr öffnen, hängt sich dann auf und nur noch PC ausschalten hilft. Habe zunächst Reader 9 entfernt und ältere Version installiert, aber selbes Problem. Daraufhin mal Sophos Anti-Virus (Version 7.6.8, regelmäßig upgedatet) "Meinen Computer überprüfen" durchlaufen lassen. Daraufhin folgen Meldungen, wonach 7 Dateien unter Quarantäne gestellt wurden. Im Quarantäne-Meanager sieht das dann so aus: Typ Virus/Spyware, Name Troj/TDSS-X, Details C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACniomybltfaimovv.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-O, Details C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-L, Details C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACbrjevrletlwnorn.dll [versteckt] Typ Virus/Spyware, Name Mal/TDSSPack-K, Details C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll [versteckt] Und es heißt jeweils unter Maßnahme "Manuelle Entfernung", aber wenn man auf den Link zur Sophos-Internetseite klickt, stürzt der PC ab und es hilft nur ausschalten. Nach dem neustarten sind die dateien dann natürlich nicht in Quarantäne. Hab hier wo was mit "devmgmt.msc" in Ausführen eingeben gelesen und dann nach Nicht-PnP-Treibern suchen. Habe da aber keine auffälligen gefunden, zumindest keine ,auf die da hingewiesen wurde. Ich erhalte jedenfalls die folgenden: ACEDRV06 AFD ArcNet NDIS Protocol Driver Beep dmboot dmload Fips Hardlock HTTP IP-Netzwerkadressübersetzung IPSEC-Treiber ksecdd mnmdd mountmgr NDIS-Benutzermodus-E/A-Protokoll NDIS-Systemtreiber NDProxy NetBios über TCP/IP Novell InterService-Kommunikationstreiber Novell NetWare-Ressourcen-Manager Novell-UNC-Pfadfilter Null PartMgr ParVdm RAS-IP-ARP-Treiber RAS-NDIS-TAPI-Treiber RDPCDD Secdrv Standardpaketklassifizierung TCP/IP-Protokolltreiber Treiber für automatische RAS-Verbindung VgaSave VolSnap Was muss ich jetzt tun, um den/die Trojaner zu entfernen? Welche Programme sind zu deinstallieren??? Bitte helft mir, ich kenn mich damit leider überhaupt nicht aus :confused: |
Nachtrag: Schritt 1 CCleaner läuft durch inkl. Registrierung. Schritt 2 Malwarebytes' Anti-Malware hängt sich beim Installieren auf, funktioniert auch nicht, wenn ich die exe umbenenne. Im Gegensatz zu dem Problem unten mit Sophos kann ich das Setup allerdings über den Windows Task-Maanger abwerfen. Was ist zu tun? |
Hallo und :hallo: Du sparst dir eine Menge Zeit, wenn du den schnellen und sicheren Weg wählst: http://www.trojaner-board.de/51262-a...sicherung.html Falls du Säuberung vorziehst, dann: Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code: Drivers to delete:
ciao, andreas |
So nachdem ich Ccleaner durchlaufen hatte lassen, hab ich nochmals Sophos gestartet. Hat wieder die 7 Dateien erkannt und in Quarantäne verschoben, ist danach aber nicht mehr abgestürzt, wenn man den Link zur Internetseite gehen wollte. Daraufhin hab ich noch Avira Antivir in der hier beschreibenen "aggressiven" Einstellung durchlaufen lassen, hat nichts Negatives gemeldet. Dann hab ich die Dateien im Quarantänemanager von Sophos wieder "entfernt" (war mir nicht sicher, ob er die irgendwohin verschoben hat oder umbenannt hat, solange sie in Quarantäne sind). Und eben dann Hopsassa durchlaufen lassen: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Driver "UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Registry key "HKLM\SYSTEM\ControlSet002\Services\UACd.sys" deleted successfully. Error: registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" not found! Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\UACd.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist File "C:\WINDOWS\system32\drivers\UACvkkllrhgnlvppjw.sys" deleted successfully. File "C:\WINDOWS\system32\UACniomybltfaimovv.dll" deleted successfully. File "C:\WINDOWS\system32\UACftjcbjrgtvplxmq.dll" deleted successfully. File "C:\WINDOWS\system32\UACoiohoogyxxmbvgq.dll" deleted successfully. File "C:\WINDOWS\system32\UACgscbrfclqgpeicq.dll" deleted successfully. File "C:\WINDOWS\system32\UACbrjevrletlwnorn.dll" deleted successfully. File "C:\WINDOWS\system32\UACwilbiwaxdwktumv.dll" deleted successfully. Completed script processing. ******************* Finished! Terminate. |
ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Nochmal Sophos gestartet, die Dateien sind offenbar immer noch da und sind niocht gelöscht worden, zumindest findet er wieder dieselben 7... Neuinstallieren geht leider nicht, das ist ein Arbeitsplatz-Rechner an der Uni, die bekommt man im Rechenzentrum bei uns vorinstalliert mit dem üblichen Windows-Zeugs. Ich könnte natürlich die Daten sichern und am Montag zu denen bringen, aber das wird ne Weile dauern, bis ich ihn wiederseh und in der Zeit kann ich dann nicht arbeiten... |
Combofix jetzt trotzdem laufen lassen? Oder nochmal erst das Hopsassa? Und die Dateien in Quarantäne lassen oder nicht? Tut mir echt leid, dass ich mich so dumm anstelle :( |
Dieben wir doch einfach mal bei den Kollegen vom HJT-Forum. Zitat:
|
OK, sorry. Aber beim ersten Mal, wo ich Hopsassa durchlaufen ließ, waren die Dateien nicht mehr in der Quarantäne. War das richtig bzw. hat das überhaupt irgendeine Beduetung? Denn jetzt wären sie leider wieder in der Quarantäne. Also 1) tu ich sie da jetzt raus, starte Hopsassa, poste hier die Meldung und startet dann Combofix (natürlich jetzt ohne irgendetwas dazwischen zu machen)? Oder 2) lass ich sie in der Sophos-Quarantäne drin und starte Hopsassa, poste die Datei und dann Combofix? |
Combofix und sonst nix. ciao, andreas |
Startet nicht, auch nicht als cofi.exe. |
Kommt eine Fehlermeldung? Öffnet sich ein Fenster? Was genau passiert? ciao, andreas |
Es passiert nichts. Ich doppelklicke auf die Datei, und es öffnet sich kein Fenster, es kommt keine Fehlermeldung, es passiert rein gar nichts. |
1.) Systemdetails mit RSIT prüfen
2.) GMER - Rootkit Detection http://pic.leech.it/i/ab0bc/635985fgmer60.jpg
ciao, andreas |
RSIT ist durchgelaufen, zwei txt-Dateien offen, jetzt müsste ich noch schnell wissen, wie ich den Textinhalt hier einbinden kann, damit das nicht ewig lang wird :) |
Lade es bei materialordner.de hoch und schicke den Link zur Info.txt und zum Log.txt. |
Über dem Textfeld sind zwei Symbolleisten, klicke jeweils auf das vierte Symbol von rechts => # und füge dann den Text ein. Falls es zu groß ist, dann lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste hier den Link. ciao, andreas |
info: http://www.materialordner.de/o9XBrZSQgBHv7qI27gbLewHIlfl9R4m.html log: http://www.materialordner.de/Q2fiYYZ5pvpkKYcG4dh9zPGLVTKALXf.html Wahrscheinlich wart ich jetzt, bevor ich GMER starte... |
Schön, dann warten wir halt beide. :) Ich brauche das Gmer-Log. ;) ciao, andreas |
Tschuldigung, wird gemacht :) |
Das ist aber jetzt schnell durchgelaufen, von wegen 3 bis 10 Minuten... und hier das Ergebnis: GMER 1.0.15.14966 - http://www.gmer.net Rootkit scan 2009-06-13 18:01:00 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- Code 860EF838 ZwEnumerateKey Code 861057B8 ZwFlushInstructionCache Code 8610D4BE IofCallDriver Code 86101AB6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF0BC 5 Bytes JMP 8610D4C3 .text ntkrnlpa.exe!IofCompleteRequest 804EF14C 5 Bytes JMP 86101ABB PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B528A 5 Bytes JMP 861057BC PAGE ntkrnlpa.exe!ZwEnumerateKey 8062296E 5 Bytes JMP 860EF83C ? nwfilter.sys Das System kann die angegebene Datei nicht finden. ! ? system32\drivers\athiport.sys Das System kann den angegebenen Pfad nicht finden. ! ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0068000A .text C:\WINDOWS\system32\winlogon.exe[480] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0069000A .text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 006F000A .text C:\WINDOWS\system32\services.exe[524] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0071000A .text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 0071000A .text C:\WINDOWS\system32\lsass.exe[536] ntdll.dll!LdrUnloadDll 7C926C83 5 Bytes JMP 0075000A ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc) AttachedDevice \FileSystem\Fastfat \Fat savonaccessfilter.sys (SAV On-access and HIPS for Windows XP (x86)/Sophos Plc) AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- EOF - GMER 1.0.15 ---- |
uacd.sys ist tot. :) 1.) Deinstalliere Malwarebytes. 2.) http://www.trojaner-board.de/51187-a...i-malware.html ciao, andreas |
Also ich deinstalliere es, dann fahr ich runter, und dann installier ichs neu, korrekt? |
:daumenhoc ciao, andreas |
So es wäre installiert und geöffnet. Was nun? |
Ich schätze mal "Vollständigen Suchlauf durchführen"? |
Ja. Steht - glaub ich - auch so in der Anleitung, sogar mit Bildern. :) ciao, andreas p.s.: 1.) Da ComboFix nicht will, nochmal mit Avenger: Code: Drivers to delete:Code: C:\bd85e4d863ccece3f42812163eb8Code: C:\tj.vbs |
So hier ist das Teil: Code: Malwarebytes' Anti-Malware 1.37 |
Versuche noch einmal Combofix zu starten. ciao, andreas |
Mist, den letzten Beitrag hab ich nicht gesehen gehabt, da lief das Malware schon. Also: tj.vbs Code: set Cleaner=createobject("wscript.shell") http://www.materialordner.de/beJmOJbus41EpSoFPs31bvkWiqz7g7Kh.html Ich weiß nicht, was das für Zeug ist, das meiste ist vom 29. Juli 2008, ich hab den Rechner erst so im Oktober bekommen. Jetzt guck ich mal zwecks Combo. |
Hier das Ergebnis: Code: ComboFix 09-06-13.01 - Helmut 13.06.2009 19:59.1 - NTFSx86Übrigens, falls das wichtig ist, das folgende von Dir vorgeschlagene hatte ich noch NICHT gemacht! Zitat:
|
Zitat:
Für ein Antivirenprogramm musst du dich entscheiden, das andere deinstallieren. Mir wäre es lieber, wenn Avira bleibt, ist aber deine Entscheidung. ciao, andreas |
OK, ich muss jetzt hier leider aber weg, nach Hause... ab morgen Mittag bin ich dann wieder da. Schon mal vielen vielen Dank! |
Scripten mit Combofix
Code: KILLALL::
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann. ciao, andreas |
Hallo Andreas, bin leider erst etwas später zurückgekommen als gedacht, für den Fall, dass Du in der Zeit gewartet hast. Hier das Ergebnis: Code: ComboFix 09-06-13.09 - Helmut 14.06.2009 14:26.2 - NTFSx86 |
Gibt es eine Besserung? Kaspersky - Onlinescanner Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware. ---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen => Hinweise zu älteren Versionen beachten! => Voraussetzung: Internet Explorer 6.0 oder höher => die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter => Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken => Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als => Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten => Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen ciao, andreas |
Ich denke schon. Adobe Reader funktioniert nach Neuinstallation ganz normal (das war ja der Auslöser, dass ich den Virus/Trojaner/was auch immer gemerkt habe). <- das muss dieses TDSS-X gewesen sein, den ich mir gestern Mittag eingefangen haben muss bzw. der sich da aktiviert hat. Wenn ich z.B. auf google nach was suche und dann auf die Links klicke, lande ich nicht mehr auf irgendwelchen anderen Seiten (ebay etc.), was vorher so in vielleicht 10% der Fälle passiert ist, sowohl beim Internet Explorer als auch beim Firefox. <- das hatte ich schon länger, vielleicht drei Monate, aber es hat mich weiter nie wirklich gestört. Bis jetzt schauts also soweit schon gut aus :aplaus: Für Kaspersky installiere ich gerade denn Internet Explorer, meld mich dann wieder. |
Wenn ich auf den Link zu "Kaspersky Online-Scanner" klicke, öffnet sich ein Fenster "Willkommen beim Online-Scanner von Kaspersky Lab! usw.". Ich klicke auf akzeptieren. Im Fenster erscheint jetzt "Initialisierung des Kaspersky Online Scanners", der blaue Balken darin wandert von rechts nach links und rechts... Eine Sicherheitsmeldung, oben eingeblendet "Diese Webseite möchte das folgende Add-On installieren: "Kaspersky Online Scanner" von "Kaspersky Lab" usw." Unten im Fenster selber "Klicken Sie hier, um das folgende ActiveX-Steuerelement zu installieren usw." Egal ob ich oben oder unten draufklicke, komme ich dann wieder zurück auf "Willkommen beim Online-Scanner von Kaspersky Lab! usw." Allerdings ohne Button unten, wo ich akzeptieren bzw. ablehnen auswählen kann. |
OK, das wäre gelöst über Änderung der Einstellungen in der Systemsteuerung bzgl. ActiveX. Kaspersky lädt jetzt irgendein Zeugs runter... |
Das sind die Virendefinitionen und das dauert. :) ciao, andreas |
Der Kaspersky ist durchgelaufen. Allerings kam kein Button, wo man ein Protokol oder überhaupt irgendwas hätte speichern können? Während er durchgelaufen ist, hat er aber 0 verdächtige Dateien gefunden. |
Übrigens habe ich einen Ordner "Qoobox" auf Laufwerk C:, darinnen ein Ordnerverzeichnis Quarantine\C\ und da dann die Ordner aa848d..., bd85e4..., d64625... usw., also offenbar alle Dateien, die Du in das Skript reingeschrieben hattest? |
Den löschen wir doch gleichmal, nicht das du damit Unfug treibst. :) Start => Ausführen => combofix /u => OK 1.) CureIT Dr.Web
2.) Panda Active Scan Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation3.) Überprüfe den Rechner mit PrevXCSI. Sollte es Funde geben, erstelle Screenshots, lade sie bei einem Imagehoster hoch (z.B. pic.leech.it) und poste hier die Links. ciao, andreas |
1) Das mit combofix erledigt. 2) Das mit CureIT Dr.Web hab ich zwar gemacht (Schnellscan und danach intensiver Sacn), aber das ist wohl doch nicht idiotensicher. Jedenfalls konnte ich keine Bericht- oder Logliste speichern, da war die Schrift so hellgrau unterlegt, also eben inaktiv. Unabhängig davon sind 185170 Objekte überprüft worden, davon 0 Infizierte, 0 Modifizierte, 0 Verdächtige usw., also überall 0. Bei Aktionen auch überall 0. 3) Jetzt lass ich grade den Panda laufen, er hat bis jetzt ca. 35000 Dateien gescannt, davon meldet er schonmal 7 als infizierte Dateien. Aufgrund der angegebenen Pfadnamen müsste es sich bei mindestens 5 davon um pdf-Dateien handeln. Mir ist an denen noch nichts aufgefallen, hab sie schon ne ganze Weile. Vielleicht Fehlalarm. Naja, das wird jetzt noch ne Weile dauern... |
Naja, ich will mal nicht so sein, 5 Minuten warte ich ausnahmsweise noch. :) ciao, andreas |
Inzwischen 45000 Dateien gescannt, 28 infiziert, 2 verdächtig. Werden immer mehr... vielleicht sollte ich gar nicht weiterforschen, PC ist ja soweit wieder arbeitsfähig... |
Mal so nebenbei, waren das in irgendeiner Weise "gefährliche" Trojaner bzw. was haben sie gemacht bzw. wo könnte ich sie mir eingefangen haben, wenn es da irgendwelche Hinweise dahingehend gegeben haben sollte? |
Zitat:
Zitat:
Zitat:
Zitat:
Erstelle ein Filelisting.
ciao, andreas |
Naja, der PC gehört mir nicht, in nem halben Jahr oder so gibts nen neuen... :Boogie: Kleiner Scherz am Rande. Hier jetzt das ActiveScan-Ergebnis: Code: ;***********************************************************************************************************************************************************************************Es sind also unter den "Malware" keine pdfs dabei, da hab ich mich getäuscht. |
listing.txt jetzt auf Materialordner.de zu haben. |
Ergebnis von Prevx auf PiC.LEECH.iT, offenbar negativer Befund. |
Du/Ihr (Administrator, Helmut, eckert, Sowa und greenlee) scheint Glück gehabt zu haben. Das Teil verbreitet sich auf drei Wegen. Der Auslöser ist meistens ein Keygen, den sich irgendwer irgendwo runterlädt. Wenn es erstmal aktiv ist, dann verbreitet es sich über externe Datenträger (Memorysticks sind am beliebtesten) und über das Netzwerk. Der genaue Auslöser ist nicht auszumachen. Aber aufgrund der vbs-Datei ist die Infektion über externe Datenträger am wahrscheinlichsten. Alle Programme, die wir benutzt haben, deinstallieren/löschen. Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten? ciao, andreas |
Kannst Du vielleicht grob einen Zeitaum angeben, also passt das mit gestern? Nicht dass ich mir um gebrannte DVDs usw. Sorgen machen muss. Bzw. dass der Rechner durch USB-Stick infiziert wurde (habe ich aber die letzten Tage nicht angesteckt gehabt). Ansonsten (momentan zumindest) keine Auffälligkeiten mehr. OK, ich bedanke mich dann derweil schon mal herzlich für die ganze bis jetzt geleistete Hilfe und die viele viele Geduld, die Du aufgebracht hast! Echt richtig klasse! :dankeschoen: Ich hoffe, dass sich damit alles erledigt hat. Und jetzt gehts ans Deinstallieren. Tschau, schönen Abend! |
Du bist entlassen. :) ciao, andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board