Gmer findet "tyrdwirh.sys"

  • #1
D

dag

Mitglied
Themenersteller
Dabei seit
27.01.2010
Beiträge
20
Reaktionspunkte
0
Hilfe
Malwarebytes und Gmer finden tyrdwirh.sys , welcher sich nicht löschen lässt!
Die Registryeinträge lassen sich nicht löschen.
Unter Google finde ich nichts zu diesem Dateinamen....

Ist es tatsächlich ein Rootkit Agent? Wie werd ich das los ohne neuauflegen? ???

Vielen Dank schonmal
 
  • #4
Security Tool ist ein Fake-AV-Programm, dass im Moment in Mode ist. Ich tippe aber bei diesem Fund eher auf eine TDSS/TDL3 Variante, also auf einen gepatchten Festplattencontroller.
 
  • #5
@andemande

ja, dass im Trojaner-Board war ich. Gmer hatte ich schon auf dem Notebook, deshalb
hab ich die Variante hier im Wintotal bevorzugt als ich davon gelesen hab. Sorry! War keine Absicht.

Ich habe gestern noch mit Gmer den Service deaktiviert. Daraufhin hat auch Antivir angeschlagen und hat die Datei gelöscht. Malewarebytes hat den Rest aus der Registry gekillt. Seltsam...fast zu einfach!

Was meint Ihr?
1000 Dank für Eure Tipps!
 
  • #6
ich warte immer noch auf das gmer logfile.....
 
  • #7
P.S. Hatte vor kurzem das Security Tool drauf, dass konnte Malwarebytes aber vollständig entfernen!
Zum Vergrößern anklicken....

andemande schrieb:
http://www.trojaner-board.de/82161-...rdwirh-sys-und-kann-diese-nicht-loeschen.html

ob das im obigen Thread genannte Security Tool da eine Rolle spielt?
Zum Vergrößern anklicken....

schrauber schrieb:
Security Tool ist ein Fake-AV-Programm, dass im Moment in Mode ist.
Zum Vergrößern anklicken....

dag schrieb:
Seltsam...fast zu einfach!
Zum Vergrößern anklicken....

genau, ist dieses Security Tool wirklich weg von der Platte? :-?

pan_fee
 
  • #8
@Schrauber

Gmer Logfile folgt sobald ich am Wochenende dazukomm. Kann Sonntag werden, sind grad mitten im Umzug.

Übrigens: ca. 1 Woche nach dem Befall des Security-Tools (Welches von Malwarebytes angeblich vollständig gelöscht wurde)
bekamen wir von der Telekom eine Abuse Benachrichtigung. Von unserem t-Account aus würde SPAM versendet und aufgrund dessen wird unser e-Mail Verkehr (Telekom-eMailadresse) beschränkt. Dass stört uns aber nicht, wir benutzen die Telekom eMailadresse nicht und haben sie nie eingerichtet. Der Telekom ist das egal, es würde so in den AGB stehen. Wie auch immer...!

Passt das SPAM versenden irgendwie in Eure Theorien? Warum unterbindet die XP-Firewall sowas nicht?

Gmer Log folgt in Kürze

Gruß DaG
 
  • #9
weil keine firewall und kein av-programm die aktuelle malware so wirklich schafft ;).
 
  • #10
Gmer Logfile! Der Scan war diesmal ziemlich kurz!?
Kannst Du damit was anfangen? Was soll ich tun?


Code: 
GMER 1.0.15.15281 - [url]http://www.gmer.net[/url]
Rootkit scan 2010-01-29 21:55:32
Windows 5.1.2600 Service Pack 2
Running: r19mj04q.exe; Driver: C:\DOKUME~1\Julia\LOKALE~1\Temp\fwkyrfod.sys


---- System - GMER 1.0.15 ----

SSDT      F7BF97B6                                             ZwCreateKey
SSDT      F7BF97AC                                             ZwCreateThread
SSDT      F7BF97BB                                             ZwDeleteKey
SSDT      F7BF97C5                                             ZwDeleteValueKey
SSDT      F7BF97CA                                             ZwLoadKey
SSDT      F7BF9798                                             ZwOpenProcess
SSDT      F7BF979D                                             ZwOpenThread
SSDT      F7BF97D4                                             ZwReplaceKey
SSDT      F7BF97CF                                             ZwRestoreKey
SSDT      F7BF97C0                                             ZwSetValueKey
SSDT      F7BF97A7                                             ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp                                    fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg       HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0011b107a363           
Reg       HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0011b107a363 (not active ControlSet) 

---- EOF - GMER 1.0.15 ----
 
  • #11
sauber.

aber man sollte auf jeden fall genauer schauen, ob das fake program und die mitbringsel auch wirklich weg sind.

bevor ich mir jetzt hier nen wolf schreib mit anleitungen: willst du das wir das machen? :)
 
  • #12
Ich werd dass erst mal allein probieren. Aber danke fürs Angebot!!!
Wenn ich Hilfe brauch meld ich mich!
Bevor ich dass aber mache hab ich noch ein anderes Problem, gepostet unter
dem Board Hardware ->Notebook schaltet nach herunterfahren nicht ab

Ich befürchte die Lösung diese Problems könnte eine WINDOWS Neuinstallation zur Folge haben.
Vielleicht kannst Du mir da auch weiterhelfen, Schrauber?

Vielen Vielen Dank nochmal für Eure Hilfe!
 
  • #13
Hehe, sorry. ich poste nur im schädlingsbereich, das hat auch seinen grund ;)

<== Hardware-Noob :D
 
Thema:

Gmer findet "tyrdwirh.sys"

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben