Es hat satte 20 Jahre gedauert, aber nun hat es mich auch erwischt: Wie es scheint, infiziert das TDSS-Rootkit meinen Rechner. Avira AntiVir hat den Versuch, Schaden anzurichten, abgefangen. Dank Malwarebytes Anti-Malware habe ich den Großteil des Schädlings (scheinbar) löschen können – aber zwei Registry-Einträge bleiben hartnäckig:

root

Zwar behauptet Anti-Malware:

„Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmrqwbdnwt (Rootkit.TDSS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\kbiwkmtumvvnri (Rootkit.TDSS) -> Quarantined and deleted successfully.“

… aber nach dem Neustart sind beide Einträge wieder da – und  ich fürchte, die rekonstruieren das Problem dann wieder.

Meine Google-Recherche erbrachte viele Seiten, auf denen User Protokolle von Programmen wie HiJack posteten – aber tatsächliche Hilfe fand sich nicht. Und mein ganzes System neu aufsetzen mag ich eigentlich auch nicht. Oder ist das Problem schon erledigt, und in der Registry liegen nur Reste?

Kurzum: Kann wer helfen? Selbstlos, kostenlos, hämefrei?

Wortvogels pantomimisches Urteil:

grundgutigerUPDATE: Ich gebe mal vorsichtig Entwarnung. Der empfohlene Spyware Doctor wollte 30 Euro haben, um das Problem zu lösen – Spybot Search & Destroy fand keine Infektion. Aber das Tool GMER hat nicht nur den Bösewicht gefunden (und mir alle gruseligen Instruktionen gezeigt, die dahinter stecken), sondern erstmals ermöglicht, diesen auch zu deaktivieren, und dann zu löschen. Daran war Malwarebytes ja immer gescheitert. Nach einem Neustart melden alle Antiviren-Programme und Check-Tools ein sauberes System.

Ich glaube nicht, dass es dem Rootkit jemals gelungen ist, Schadsoftware nachzuladen. Dafür habe ich mein System nach außen zu gut gesichert. Deshalb gönne ich meinen Nerven jetzt mal die Hoffnung, mit einem blauen Auge davon gekommen zu sein…

DANKE an alle – und GMER!



avatar
21 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
13 Comment authors
weglachWortvogelNobbesmorphiumSimon Recent comment authors
  Subscribe  
neuste älteste beste Bewertung
Benachrichtige mich zu:
Callibso
Callibso

Wenn in der Registry nur harmlose Reste lägen, würden die sich nicht von selbst wieder herstellen.

Zuerst starte Windows im abgesicherten Modus:
http://windowshelp.microsoft.com/Windows/de-DE/help/323ef48f-7b93-4079-a48a-5c58eec904a11031.mspx

Lasse darin das Antimalware-Programm durchlaufen.

Falls das noch nichts bringt, deaktiviere zusätzlich die windowseigene Systemwiederherstellung. Falls diese infiziert wurde stellt Windows selbst nämlich den Schändling immer wieder neu her:

http://www.msvistafaq.de/2007/07/19/vista-systemwiederherstellung-abschalten/

morphium

Du kannst dir nicht sicher sein, dass über das Rootkit nicht noch ein anderes bösartiges Tool installiert wurde, was der Virenscanner nicht erkennt. Und wie du merkst, kannst du nie 100% sicher sein, dass der Virus komplett entfernt ist.

Deshalb mein dringender Ratschlag: Installier‘ alles neu. Kannst du ja gleich nutzen, um auf Windows 7 umzusteigen…

Du kommst um eine Neuinstallation wirklich nicht drum rum.

morphium

Marko

Ich habe mir seit einiger Zeit angewöhnt, mit zwei Windows-Versionen zu arbeiten, die ich alle zwei Wochen wechsele (SATA Platte im Wechselrahmen), weil ich zu blöd und zu faul bin, mein System ständig sauber zu halten. Tools und Daten sind eh auf anderen Platten. Wenn ein Windows nicht mehr läuft (oder infiziert wird), fliegt es raus. Ich spiegele dann einfach die heile Version und hab dann wieder zwei.

Nützt Dir jetzt natürlich nichts, aber es ist ein recht guter Schutz — hat mein Windows-Leben und -Leiden unglaublich verbessert.

Gruß,
Marko

Marc

Wenn neu installieren eine Option ist, dann würde ich doch jetzt schon Win7 drauf hauen. Lässt sich 30 Tage ohne Key nutzen, danach nochmal 3×30 Tage mit einem kleinen, legalen, Trick (rearm). Das reicht auf jeden Fall bis deine Lizenz kommt. Die Iso kann man ja aus verschiedensten Quellen bekommen. 😉

Marko

@ Wortvogel: Sorry für’s klugscheißen, aber einmal ist immer das erste Mal, you know. Meine Methode hat sich für mich bewährt, eben weil ich keinen Bock auf solche „ersten Male“ habe.

Gruß,
Marko

Bernhard Zunkel
Bernhard Zunkel

Hallo, Spyware Doctor behebt das Problem seit dem 07. August: http://www.pctools.com/de/mrc/database/year/2009/month/08/.

Hast Du daran gedacht, zwei Konten einzurichten? TDSS ist allerdings ein Tool mit dem auch andere Programme „hinterhergeschickt“ werden können. P.S. Geiler Blog, scharfes Tweet!

Bernhard Zunkel
Bernhard Zunkel

Noch ne Idee: „… aber nach dem Neustart sind beide Einträge wieder da – und ich fürchte, die rekonstruieren das Problem dann wieder.“

Deaktiviere mal den temporären Speicher und gehe dann auf Neustart und scannen. Mit etwas Glück hast Du den
root in der temporary!

Michael

Sorry, aber das passt einfach zu gut…

Salamandro
Salamandro

http://bias9.blogspot.com/2008/11/tdss-rootkit-removal.html
Das hier gefunden? Wenn ich das so durchlese: Viel Glück!

Solus
Solus

Geheimtipp: http://www.gmer.net
– mit diesem kostenlosen Tool habe ich neulich nen fiesen Virus/Rootkit entfernen können, bei dem sämtliche Antivirs, Spybots und HiJackThiss versagt haben.

Zuerst starten, dann müßte es unter „Rootkit“ rote Einträge anzeigen – die erstmal deaktivieren (danach eventuell löschen), dann lassen sich auch die Einträge/Dateien von dem Bösewicht entfernen. ggf. auch einfach mal in gmer unter „Files“ im System32-Verzeichnis nachschauen – mit angeschalteter Option „Only hidden“, um vom Virus versteckte Dateien aufzuspüren.

Im übrigen empfehle ich vorher noch LSPFix und WinsockxpFix runterzuladen, denn manche Viren schreiben sich neuerdings in die Netzwerkeinstellungen, und wenn man die gelöscht hat, geht kein Internet mehr. Mit Hilfe dieser Programme kann man das in Sekunden wieder auf die Voreinstellung zurücksetzen.

shadowKFC
shadowKFC

Die besten Erfahrungen wenn das Kind in den Brunnen gefallen ist und die Viren mal drauf sind hab ich mit der Avira Rescue CD gemacht:
http://www.free-av.com/en/products/12/avira_antivir_rescue_system.html

Das funktioniert indem man dann von dieser linux-basierten CD bootet und die Viren so komplett ohne Beinflussung von Windows entfernen kann. Keien Sorge wenn du keine Ahnung von Linux hast, du kiegst nur eine einfache Oberfläche für den Scanner zu sehen.

Tip:
Nach dem booten kann man die Viren-Definition auch noch updaten wenn das ISO_linux die Netzwerkkarte erkennt.

Simon
Simon

Also ich würde die Problembehebung gar nicht unter dem befallen Windows durchführen, da so ein evtl. noch vorhandener Virus beim Booten mitgeladen wird und sich verstecken kann. Ich würde ein Notfall-Windows von CD/DVD/USB-Stick booten und dann per Virenscanner die gesamte Festplatte scannen lassen. Dann die Registry des befallenen Windows in die Registry des Notfall-Windows laden und auch diese säubern lassen. Auf diese Weise bekommst du dein Windows höchstwahrscheinlich wieder sauber, aber eine 100%ige Sicherheit kann dir dafür niemand geben.

Ein „Notfall-Windows“ gab es auf der CD der c’t 26/08 (http://www.heise.de/ct/Notfall-Windows-auf-CD-oder-Stick–/projekte/132649), inklusive Virenscanner usw., lässt sich aber auch alles komplett selber bauen mit VistaPE.

morphium

Soso, du hast also einen Virus, den du nicht wegbekomst, glaubst aber, er kann nix nachladen?
Ganz schön naiv, meinst du nicht?
Also, ein ordentlicher Admin geht davon aus, dass das System kompromiittiert ist und neu aufgesetzt werden muss, wenn er das Glück (!) hat, zu merken, dass er kompromittiert wurde.
Aber naja, viel Spaß mit deinem Bundestrojaner…aus der Sicht eines sicherheitsbewussten Admins einfach nur grob fahrlässig, sorry.

Nobbes
Nobbes

Ich würde systematisch vorgehen. Die Anti-Malware-Software mäkelt also nach jedem Neustart die gleichen zwei Registry-Schlüssel an?
Werden die Schlüssel tatsächlich beim Neustart neu angelegt? Dann wäre die Malware immer noch aktiv. Oder wurden die Schlüssel gar nicht gelöscht, obwohl der Malware-Remover anderes behauptet?
Schau doch mal mit Regedit, ob Du die Schlüssel sehen kannst bevor und nachdem Du den Malware-Remover ausgeführt hast. Wenn die Schlüssel nachher noch da sind, würde ich versuchen sie in Regedit von Hand zu löschen. Sollte das nicht funktionieren, würde ich das Löschen in Regedit nich mal im abgesicherten Modus versuchen.

Update: Ah sorry, habe das Update oben gerade erst gesehen. Dann hat sich die Sache wohl erledigt.

weglach

@Michael: sagt der mac bei 0:30 echt gesundheit,oder bilde ich mir das nur ein? ^^

@wortvogel: „Ich glaube nicht, dass es dem Rootkit jemals gelungen ist, Schadsoftware nachzuladen. “

toi toi toi *daumen drück*

@morphium: „Du kommst um eine Neuinstallation wirklich nicht drum rum.“

mit etwas arbeit kommt man immer drum rum.die frage ist nur, ob es sich lohnt 😉

weglach

@wortvogel: achso.wusste ich garnicht.danke für den hinweis 🙂