Gmer findet "tyrdwirh.sys"

[dag]

Hilfe
Malwarebytes und Gmer finden tyrdwirh.sys , welcher sich nicht löschen lässt!
Die Registryeinträge lassen sich nicht löschen.
Unter Google finde ich nichts zu diesem Dateinamen....

Ist es tatsächlich ein Rootkit Agent? Wie werd ich das los ohne neuauflegen?

Vielen Dank schonmal

[schrauber]

hi,

lass gmer nochmal laufen und poste das komplette logfile.

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_gm

[andemande]

http://www.trojaner-board.de [...] et-tyrdwirh-sys-und-kann-diese-nicht-loeschen.html

ob das im obigen Thread genannte Security Tool da eine Rolle spielt?

Mich wundert nur daß jemand in einem Board eine Frage stellt und dann dort gar nicht mehr antwortet.

[schrauber]

Security Tool ist ein Fake-AV-Programm, dass im Moment in Mode ist. Ich tippe aber bei diesem Fund eher auf eine TDSS/TDL3 Variante, also auf einen gepatchten Festplattencontroller.

[dag]

@andemande

ja, dass im Trojaner-Board war ich. Gmer hatte ich schon auf dem Notebook, deshalb
hab ich die Variante hier im Wintotal bevorzugt als ich davon gelesen hab. Sorry! War keine Absicht.

Ich habe gestern noch mit Gmer den Service deaktiviert. Daraufhin hat auch Antivir angeschlagen und hat die Datei gelöscht. Malewarebytes hat den Rest aus der Registry gekillt. Seltsam...fast zu einfach!

Was meint Ihr?
1000 Dank für Eure Tipps!

[schrauber]

ich warte immer noch auf das gmer logfile.....

[PCDpan_fee]

P.S. Hatte vor kurzem das "Security Tool" drauf, dass konnte Malwarebytes aber vollständig entfernen!

http://www.trojaner-board.de [...] et-tyrdwirh-sys-und-kann-diese-nicht-loeschen.html

ob das im obigen Thread genannte Security Tool da eine Rolle spielt?

Security Tool ist ein Fake-AV-Programm, dass im Moment in Mode ist.

Seltsam...fast zu einfach!

genau, ist dieses Security Tool wirklich weg von der Platte?  

pan_fee

[dag]

@Schrauber

Gmer Logfile folgt sobald ich am Wochenende dazukomm. Kann Sonntag werden, sind grad mitten im Umzug.

Übrigens: ca. 1 Woche nach dem Befall des Security-Tools (Welches von Malwarebytes angeblich vollständig gelöscht wurde)
bekamen wir von der Telekom eine "Abuse" Benachrichtigung. Von unserem t-Account aus würde SPAM versendet und aufgrund dessen wird unser e-Mail Verkehr (Telekom-eMailadresse) beschränkt. Dass stört uns aber nicht, wir benutzen die Telekom eMailadresse nicht und haben sie nie eingerichtet. Der Telekom ist das egal, es würde so in den AGB stehen. Wie auch immer...!

Passt das SPAM versenden irgendwie in Eure Theorien? Warum unterbindet die XP-Firewall sowas nicht?

Gmer Log folgt in Kürze

Gruß DaG

[schrauber]

weil keine firewall und kein av-programm die aktuelle malware so wirklich schafft .

[dag]

Gmer Logfile! Der Scan war diesmal ziemlich kurz!?
Kannst Du damit was anfangen? Was soll ich tun?
 

Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-29 21:55:32
Windows 5.1.2600 Service Pack 2
Running: r19mj04q.exe; Driver: C:\DOKUME~1\Julia\LOKALE~1\Temp\fwkyrfod.sys


---- System - GMER 1.0.15 ----

SSDT            F7BF97B6                                                                                         ZwCreateKey
SSDT            F7BF97AC                                                                                         ZwCreateThread
SSDT            F7BF97BB                                                                                         ZwDeleteKey
SSDT            F7BF97C5                                                                                         ZwDeleteValueKey
SSDT            F7BF97CA                                                                                         ZwLoadKey
SSDT            F7BF9798                                                                                         ZwOpenProcess
SSDT            F7BF979D                                                                                         ZwOpenThread
SSDT            F7BF97D4                                                                                         ZwReplaceKey
SSDT            F7BF97CF                                                                                         ZwRestoreKey
SSDT            F7BF97C0                                                                                         ZwSetValueKey
SSDT            F7BF97A7                                                                                         ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                        fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a363                      
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0011b107a363 (not active ControlSet)  

---- EOF - GMER 1.0.15 ----

[schrauber]

sauber.

aber man sollte auf jeden fall genauer schauen, ob das fake program und die mitbringsel auch wirklich weg sind.

bevor ich mir jetzt hier nen wolf schreib mit anleitungen: willst du das wir das machen?

[dag]

Ich werd dass erst mal allein probieren. Aber danke fürs Angebot!!!
Wenn ich Hilfe brauch meld ich mich!
Bevor ich dass aber mache hab ich noch ein anderes Problem, gepostet unter
dem Board "Hardware" ->Notebook schaltet nach herunterfahren nicht ab

Ich befürchte die Lösung diese Problems könnte eine WINDOWS Neuinstallation zur Folge haben.
Vielleicht kannst Du mir da auch weiterhelfen, Schrauber?

Vielen Vielen Dank nochmal für Eure Hilfe!

[schrauber]

Hehe, sorry. ich poste nur im schädlingsbereich, das hat auch seinen grund

<== Hardware-Noob