Das werd ich mal noch probieren, auch wenn ich keine großen Hoffnungen mehr hab.

Kannst du mir noch sagen, was es mit dem Teil au dem GMER-Log auf sich hat:

C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xEC0D28BF]
C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xAA0E7400, 0x82482, 0xE8000020]
C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xAA187420]
C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xAA187200, 0x5105, 0xE0000020]

Das protectÿÿÿÿhardlockentry point kommt mir doch sehr spanisch vor - und ich kann gar kein Spanisch ...

Einträge zu 2 Systemdateien. Die halte ich für legitim.

Also das mit der BartPE-CD hab ich nicht hinbekommen. Muss da irgendwie SATA-Treiber einbinden, was entweder sehr kryptisch oder gar nicht im Web beschrieben ist. Habs zumindest nicht gefunden.

Aber ist das nicht unterm Strich dasselbe, als wenn ich die Platte wieder ausbaue und in 'nem exteren Gehäuse via USB an meinen Werkstatt -PC anschließe? Das hat ja schon mal nicht gefunzt.

Hab grad die ominöse Datei/Verzeichnis unter Linux in ::: umbenannt. Damit kann doch Windoof nix anfangen. Fragt sich nur, ob die sich dahinter verbergenden Geister trotzdem rauskommen können?

Hab ständig den Taskmanager im Blick und kann keine verdächtigen Aktivitäten feststellen. Auch auf dem Netz ist in Richtung Internet erst mal nix los. Hm, ist das Ding nun eingemauert?

Hab seit der Umbenennung gestern Abend noch mal alles durchlaufen lassen (GMER, Dr.Web, Malwarebytes, Avira, awsMBR, MBRCheck und OTL). Alles ohne Befund.

Nur das ominöse Verzeichnis wurde von GMER aufgelistet:

Code: Alles auswählenAufklappen

ATTFilter

C:\:::\1950017715                             0 bytes
C:\:::\4150741015                             0 bytes
C:\:::\4150741015\@                        2048 bytes
C:\:::\4150741015\click.tlb                2144 bytes
C:\:::\4150741015\L                           0 bytes
C:\:::\4150741015\L\wjxaiaeh             162816 bytes
C:\:::\4150741015\loader.tlb               2540 bytes
C:\:::\4150741015\U                           0 bytes
C:\:::\4150741015\U\@00000001             45968 bytes
C:\:::\4150741015\U\@000000c0              3584 bytes
C:\:::\4150741015\U\@000000cb              3072 bytes
C:\:::\4150741015\U\@000000cf              1536 bytes
C:\:::\4150741015\U\@80000000             26112 bytes
C:\:::\4150741015\U\@800000c0             35840 bytes
C:\:::\4150741015\U\@800000cb             27648 bytes
C:\:::\4150741015\U\@800000cf             27648 bytes
         

Nun meine Fragen:

- Welcher Virus/Trojaner oder was auch immer könnte das sein?
- Kann es sein, dass der jetzt ruhig gestellt ist aufgrund des Verzeichnisnamens?

Grüße, Troja007

Hab mal bisschen rumgegooglt, und zwar nach dem Dateinamen einer in dem Verzeichnis enthaltenen click.tlb:

hxxp://forums.majorgeeks.com/showthread.php?p=1672737
hxxp://forums.majorgeeks.com/showthread.php?t=244613
hxxp://www.bleepingcomputer.com/forums/topic421957.html

Es scheint sich um das (einmal auch gefundene) Rootkit Zero Access zu handeln. In den o.g. Fällen hatten alle eine ähnliche Verzeichnisstruktur wie bei mir. Teilweise auch mit C:\Windows\$NtUninstallKB?????$ und entsprechenden Unterordner mit vielen Ziffern und dann exakt die gleichen Dateien drin. Nur eine davon hieß immer anders, die sich bei mir wjxaiaeh nennt.

Allerdings konnte die meistens gelöscht werden. Habs grad auch noch mal mit Avenger und folgenden Script probiert:

Code: Alles auswählenAufklappen

ATTFilter

Folders to delete:
c:\aaa

Files to delete:
c:\aaa
         

(je nach dem, ob Avenger das Ding als Datei oder Verzeichnis ansieht). Aber egal. Auch Avenger konnte es nicht löschen:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open folder "c:\aaa"
Deletion of folder "c:\aaa" failed!
Status: 0xc0000279


Error: "c:\aaa" is a folder, not a file!
Deletion of file "c:\aaa" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
  --> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Completed script processing.

*******************

Finished!  Terminate.
         

Der oft geschilderte gekappte Internetzugang war bei mir auch da. Hab dann den Winsocks2 Schlüssel in der Registry gelöscht und durch einen exportierten aus einem funktionierenden System ersetzt. Funzt wieder.

Ein User schrieb auch, dass er das Rootkit entfernen konnte, nachdem er sich mit der Funktionsweise von Rootkits beschäftigt hatte. Hm, wie er es aber gemacht hat stand da nicht drin.

Ich befürchte außerdem, dass es sich bei mir um eine Kombination aus Rootkit und einem Versteck hinter einem unsupported reparse point handelt. Scheinbar hab ich ihn aber (jetzt wieder nach c:\::: umbenannt), so zusagen in Quarantäne schicken können.

Hast du sonst noch eine Idee zum Löschen dieses Teils?

Grüße aus Troja ;-)

Zitat:

Also das mit der BartPE-CD hab ich nicht hinbekommen. Muss da irgendwie SATA-Treiber einbinden, was entweder sehr kryptisch oder gar nicht im Web beschrieben ist. Habs zumindest nicht gefunden.

Geh mal ins BIOS deines Computers und stell den Plattencontroller von AHCI auf IDE bzw. Compatible um. Genauere Anleitungen kann man nicht posten, da fast jedes BIOS anders aussieht. Schau notfalls ins Handbuch.

Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen.

Ich hab den Rechner jetzt erst mal wieder normal laufen und beobachte mal, ob sich noch was tut. Ich denke sämtliche Löschversuche sind sinnlos.

Hab zum Thema Rootkit Zero Access diese Erklärung gefunden, da erkenn eich einiges wieder: hxxp://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf

Welches Tool findet und beseitigt denn dieses Rootkit zuverlässig, wenn seine Wirkungsweise schon mindestens ein halbes Jahr bekannt ist (Erstalldatum der PDF-Datei (11.04.2011)?

Nachdem ich mich nun so lange mit fremdem Rechnern beschäftig habe, dachte ich mir, ich scanne spaßeshalber mal meinen eigenen. Das angehängte Logfile von awsMBR hat mir dann erst mal einen leichten Schauer über den Rücken laufen lassen.

Hier die vier farblich markierten Zeilen:

01:36:12.812 Service atapi C:\WINDOWS\System32\DRIVERS\atapi.sys **LOCKED** 32
01:36:12.875 Service GMSIPCI F:\INSTALL\GMSIPCI.SYS **LOCKED** 21
01:36:18.500 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b22ec50]<<
01:36:18.515 \Driver\atapi[0x8b2ae360] -> IRP_MJ_CREATE -> 0x8b22ec50

Nach FixMBR war alles immer noch so. Watt iss hier los?

Muss ich dafür etwas ein neues Thema aufmachen?

Zitat:

Welches Tool findet und beseitigt denn dieses Rootkit zuverlässig,

Garkeins! Zuverlässige im Sinne von 100% gibt es nicht und wird es auch nie geben! Ich hab anfangs schon erwähnt: Bei dem Teil ist eine Bereinigung echt nicht mehr gutzuheißen!!

Warum verfolgst du die Sache mit der Live-CD nicht mehr?! Wenn das nicht geht lass es sein, man kann einfach nicht jedes System per Bereinigung retten.

Zitat:

Zitat von cosinus

Warum verfolgst du die Sache mit der Live-CD nicht mehr?!

Hab ich doch geschrieben, weil ich glaube, dass jegliche herkömmlich Löschversuche sinnlos sein werden. Booten von 'ner Live-CD hat ja unter Linux schon nicht viel gebracht. Und ich hab die Platte ja auch schon extern an einen anderen Rechner angeschlossen. Da ging auch nix. Das wäre doch fast dasselbe, wie von 'ner Windows-Live CD zu starten, oder?

Außerdem hab ich das Notebook grad nicht mehr. Der Besitzer muss erst mal paar Rechnungen damit schreiben. Das Rootkit wird sich doch nicht auf Papier weiterverbreiten?

Der Hauptgrund für die ganzen Reinigungsversuche war nämlich, dass das installierte Handwerkerprogramm eben nicht einfach neu installiert werden kann. Da hält der Hersteller ordentlich die Hand dafür auf.

gelöscht und als neues Thema veröffentlicht

Zitat:

Da ging auch nix. Das wäre doch fast dasselbe, wie von 'ner Windows-Live CD zu starten, oder?

Zumindest hätte man mit der Windows-Live-CD nochmal junction oder fsutil ausprobieren können...

Ja, aber welchen Unterschied hätte denn ein Start von einer Windows-Live-CD gemacht gegenüber dem von einem Windows-PC, an dem die Platte extern via USB angeschlossen ist?

Achso, darauf willst du hinaus. Ich dachte du willst das von dem immer och befallen Windows aus tun. Nun, wenn die Platte mit dem infizierten Windows als externe Platte an einem anderen Rechner angeschlossen ist ist das natürlich genauso gut