[erledigt] Tdl-4 Erkennen

faif
bearbeitet Juli 2011 in Bitdefender 2011 produkte

Hallo,


die Medien sind ja voll von diesem neuen Trojaner/Virus TDL-4 der sich im MBR einnistet.


Erkennt BitDefender AntiVirus Pro 2011 bereits TDL-4 bzw. wenn nicht, welche Möglichkeiten gibt es einmal zu prüfen, ob ein Rechner von TDL-4 infiziert wurde?


Danke vorab :)

Kommentare

  • NetRocker
    bearbeitet Juli 2011

    Hallo faif


    Das Teil sollte erkannt werden (sofern es sich überhaupt zu erkennen gibt), kann aber nicht durch die AV Software/AV Boot CD entfernt werden. Eine Möglichkeit um das Ding loszuwerden wäre den MBR mit Hilfe der Windows Installations CD zu überschreiben und danach das System zurückzuspielen (bis vor den Befall).


    Gruss


    Stefan

  • NetRocker
    bearbeitet Juli 2011

    Das System kann mit ner AV Boot CD geprüft werden (Boot CD sollte "sauber" sein). Damit sollte der Trojaner erkannt werden.

  • Das System kann mit ner AV Boot CD geprüft werden (Boot CD sollte "sauber" sein). Damit sollte der Trojaner erkannt werden.


    Wie ich eben gefunden habe, ist das leider genau nicht der Fall laut Bitdefender: http://forum.bitdefender.com/index.php?showtopic=27305

  • Hm... dann würd ich mal auf ne andere AV Boot CD ausweichen. Hab mal kurz im WWW geguckt. Die Kaspersky Rescue Disc sollte sämtliche Boot Sektoren scannen.


    Nun, beim anfertigen der Disc sollt der Rechner "clean" sein.

  • Speichern Sie die angehängte Datei auf Ihrem PC und entpacken Sie diese. Führen Sie danach die 32, oder die 64 Bit Version aus. Überprüfen Sie nach dem Abschluss ob das Problem noch besteht.


    [32 oder 64 bit System]


    -> Windows Vista/Windows 7


    1.Öffnen Sie "System", indem Sie auf die Schaltfläche Start klicken, mit der rechten Maustaste auf Computer klicken und dann auf Eigenschaften klicken.


    2.Unter System können Sie den Systemtyp anzeigen.


    -> Windows XP


    1.Klicken Sie auf Start.


    2.Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und klicken Sie dann auf Eigenschaften.


    -Wenn dort nicht "x64 Edition" aufgeführt ist, wird die 32-Bit-Version von Windows XP ausgeführt.


    -Wenn "x64 Edition" unter System aufgeführt ist, wird die 64-Bit-Version von Windows XP ausgeführt.


    http://dl.transfer.ro/tdl_removal-transfer...4jul-e60798.zip

  • Hätte da noch ne Frage an die Experten zu TDL-4:


    Das Teil nutzt ja Rootkit-Technologien und nistet sich im MBR ein. Soweit bich gehört habe wird der TDL-4, wenn man einen „normalen“ Virenscan durchführt, nicht erkannt. Dass er dort nicht erkannt wird leuchtet mir ein.


    Normalerweise kopieren sich Trojaner und andere Malware nach dem Ausführen in den Autostart Ordner resp. System32 Ordner (oder auch woanders hin) und erstellen noch Registry Keys.


    Eigentlich sollten ja diese Sachen bei nem Virenscan erkannt werden? Oder hat dieser Schädling andere Eigenschaften? Hab da noch nicht viel über diese Malware in Erfahrung bringen können.


    Gruss


    Stefan

  • Hallo Eugen,


    wenn ich das von dir gelinkte RemovalTool laufen lasse, kommt folgendes:


    TDL3 removal tool (r23), BitDefender, 2010


    Searching TDL3 in MBR... ptstatus error 0xC00000BB


    Searching in C:\Windows\system32\Drivers ...


    System is clean.


    Kennt das Tool nur TDL-3? Wann gibt's das für TDL-4? Was bedeutet der 'ptstatus error'?


    Ich habe Win 7 Home Premium, 64 bit


    Gruss, lutz

  • Vielen Dank. Aber: siehe Attachment.


    AVC ausschalten hat auch nicht geholfen.


    Win 7 Home Premium, 64 bit


    Gruß, lutz

    post-2390-1309882367_thumb.jpg

  • Gehen Sie bitte wie folgt vor:


    Starten Sie den Bitdefender


    - wählen Sie die Experten-Ansicht (rechts oben, bei Optionen)


    - gehen Sie bei Antivirus -> mehr Einstellungen und wählen Sie Ausnahmen. Klicken Sie auf das + Zeichen um eine neue Regel zu erstellen. Suchen Sie die genannte Anwendung, markieren Sie diese, klicken Sie auf "öffnen" und anschliessend auf OK.


    Sollte das Problem weiterhin bestehen, kontaktieren Sie uns bitte erneut

  • Hallo Eugen,


    vielen Dank für den Hinweis. Ich habe jetzt die tdl4-removal-64bit-exe in die Ausnahmen von AVC gepackt: dann kommt die blaue Box "BD Aktive Virenkontrolle" nicht mehr, aber immer noch die Fehlerbox (Installation fehlgeschlagen) vor dem Removal Tool mit kreisender Ladeanzeige (siehe Bild in Post #10). Alles im Admin-User.


    Kann man das Tool mit einer Log-Option laufen lassen? Bisher habe ich die exe einfach doppelgeklickt.


    lutz

  • Hallo zusammen,..


    hab das Programm auch installiert,... und bei mir kommt dieselbe Fehlermeldung wie bei lutz!

  • Versucht bitte mit Rechtsklick -> Als Administrator ausführen. Ihr könnt eventuell auch im abgesicherten Modus versuchen.

  • Hallo,


    wie in meinem letzten Post beschrieben, hatte ich es unter einem Adminuser versucht.


    Jetzt habe ich es im safe mode probiert, mit Adminuser und "Als Administrator...": Dann kam zwar die kleine Fehlerbox nicht mehr, aber als sich in der Tooloberfläche die Fortschrittsanzeige beruhigt hatte, stand da: "Status: Fehler Initialisierung" (siehe Bild).


    Dieses Verhalten habe ich seither auch bei normal gestartetem Windows.

    post-2390-1310045961_thumb.jpg