Hallo, ich habe die letzten 3 Nächte damit verbracht, eine ausgebaute Notebookplatte (Windows XP prof. 32bit NTFS) nach Virenbefall zu säubern. Habe die Platte in ein externes (SATA-) Gehäuse gesteckt und via USB an meinen "Werkstatt-PC" gehängt.

Auf der Platte waren eine ganze Reihe von Trojanern, Rootkits u.ä. drauf (BOO/TDss.D, W32/PatchLoad.A, TR/Crypt.XPACK.Gen, TR/ATRAPS.Gen2, TR/Spy.53472.4, TR/FakeSysdef.A.2966, RKIT/ZeroAccess.H).

Von da aus habe ich wie hier beschrieben, mittels diverser Such- und Säuberungsprogramme (aswMBR, MBRCheck, Combofix, Dr.Web, FixTDSS, TDSSKiller, Norton PE, Avira Antivir PE) die Übeltäter verbannen können.

Ergebnis: Alles chic - bis auf eine Datei auf der extern angeschlossenen Platte: c:\windows\$NTUninstallKB16527$

Die hatte sich also als Windows-Update "verkleidet", ließ sich aber im Gegensatz zu ihren echten "Verwandten" nicht löschen. Weder aus der Wiederherstellungskonsole der Windows XP CD, noch im abgesicherten Modus noch von einer Linux Boot-CD (dabei steckte die Platte wieder im Notebook). Zumindest konnte ich die Datei unter Linux umbenennen und verschieben nach c:\xyz.

Aber auch danach waren alle Löschversuche erfolglos. Nicht einmal mit einem so coolen Linux Befehl von der Seite hxxp://wiki.magenbrot.net/linux/dateien_loeschen_anhand_der_inode-nummer_-_datei_laesst_sich_nicht_loeschen :
[root@bash]# find . -inum 2479591 -exec rm -f {} \;

Entweder war Linux der Meinung "directory not empty" oder mit [root@bash]# find . -inum 2479591 -exec rmdir -f {} \; "is no directory" zumindest sinngemäß - wörtlich weiß ichs nicht mehr 100%ig.

Interessant war aber der Zusatz hinter der Datei in der Auflistung mittels "ls -ali" da stand schön in rot "unexpected reparse point" wobei ich mir bei "unexpected" nicht ganz sicher bin, sinngemäß trifft es aber zu.

Das ist also so eine Art Hardlink, der egal wo er steht und wie er heißt immer auf die richtige Datei zeigt. So hab ich es zumindest verstanden. Blöd nur, wenn es sich um einen Virus dabei handelt. Die Datei selbst bzw. der Hardlink wurde von keinem Scanner bemängelt.

Ich hatte nach der Umbenennung mal versucht wieder richtig von der Platte zu booten. Aber gleich kamen wieder Virenmeldungen hoch. Also alles noch mal von vorn, bis zum Stand: Platte sauber bis auf eine Datei c:\xyz und die lässt sich nicht löschen.

Daher nun meine Fragen:
A: Gibt es irgendeine Möglichkeit, diese Datei doch noch los zu werden?
B: Oder muss ich die Platte platt machen und alles neu installieren?

Danke schon mal im Voraus für eine positive Antwort zu Variante A!

PS: Ich bin davon ausgegangen, dass keine Logfiles benötigt werden. Falls doch, muss ich die erst anfertigen. Dazu gleich 2 Fragen: Platte wieder extern anschließen und Scanner vom Werkstatt-PC aus laufen lassen? Oder Platte in Notebook zurück und damit wieder der Geister von der Leine lassen und dann erst scannen?

Hallo, ich hab nun doch noch eine Scan mit OTL gemacht, bei dem befallenen Platte aber nur extern via USB angeschlossen war. War aber sinnfrei, da scheinbar nur die lokale Platte C:\ gescannt wurde und demzufolge auch keine Fehlermeldung auftauchte.

Daher nochmal meine Fragen:

Muss doch die Platte ins Notebook zurück und damit der Virus wieder aktiviert werden, um dann mit OTL zu scannen?

Oder gibt es irgendeine Lösung zum Löschen der widerspenstigen Datei?

Danke und Grüße,
Troja007

Zitat:

RKIT/ZeroAccess.H

Bei dem Teil ist eine Bereinigung echt nicht mehr gutzuheißen.

Zitat:

Aber auch danach waren alle Löschversuche erfolglos. Nicht einmal mit einem so coolen Linux Befehl

Von einem Live-Linux aus braucht man nicht solche Befehle anwenden, erst recht sollte man keine verwenden, die auf einem Windows-Dateisystem sinnfrei sind.
Mit einem einfachen

Code: Alles auswählenAufklappen

ATTFilter

rm -rf /media/[MOUNTPOINT_DER_WINDOWSPARTITION]/WINDOWS/$NTUninstallKB16527$
         

wärs auch erledigt.

Zitat:

Ergebnis: Alles chic - bis auf eine Datei auf der extern angeschlossenen Platte: c:\windows\$NTUninstallKB16527$

Was das für ein Ordner ist, ist dir sicherlich auch völlig klar? Was könnte "NTUninstall" wohl bedeuten?

Zitat:

Daher nochmal meine Fragen:

Ich wär erstmal dafür, du postest ALLE vorhandenen Logs.

Hallo cosinus,

erst einmal Danke dafür, dass du dich des Problem annimmst!

Zum Löschen unter Linux:
Die einfachen Löschbefehle bzw. Löschen über Linux Dateimanager hatte ich vorher natürlich schon durchprobiert - ohne Erfolg. Dann erst bin ich auf die mögliche Problemlösung mittels der inode-Nr. gestoßen

Zu c:\windows\$NTUninstallKB16527$:
Dass sich die Uninstall-Ordner von Windows Updates so benennen ist mir klar. Die lassen sich ja auch einfach löschen. Nur der Virus (oder Rootkit oder was es denn nun ist) hat sich hinter einem solchen Namen nur versteckt. Denn diese Datei (bzw. eigentlich ist es ja ein Verzeichnis) lässt sich eben nicht öffnen oder löschen.

Die Datei ließ sich unter Linux zumindest umbenennen und verschieben (wie oben beschrieben). Und sie ließ sich auch mittels Dateimanager "löschen" - also in den "Papierkorb" verschieben. Interessanter Weise hat die dann im Papierkorb Unterverzeichnisse mit Dateien. Wie das genau aussieht muss ich noch nachliefern. Komm da jetzt nicht ran.

Vorhandene Logs:
Komm ich jetzt auch nicht ran. Aber die bezogen sich nur auf LW C:\ meines Werkstatt-PCs, der ja nicht befallen ist. Über die via USB angeschlossene Platte schwiegen die sich entweder ganz aus oder es gab keine Funde. Die "Problemdatei" wurde nie angemeckert.

Neue Los kommen:
Da ich inzwischen ein Image des aktuellen Zustand der Platte mit Acronis gemacht habe. Werde ich nun die Platte wieder ins Notebook einbauen, von ihr booten und dann alle Logs posten.

Bis denne!

Hier erst mal die Korrektur einiger aus dem Gedächtnis zitierter Begriffe und Meldungen:

Die nicht löschbare Datei wir unter Linux mit dem Hinweis versehen:
unsupported reparse point

Konkret sieht das so aus:

root@lesslinux:/media/sda1
# ls -ali
...
65326 lrwxrwxrwx 1 surfer surfer 26 Jan 30 2007 xyz -> unsupported reparse point

Der Löschbefehl mit Bezug zur inum bringt diese Meldung::
# find . -inum 65326 -exec rm -f {} \;
rm: can't remove './xyz': Directory not empty


Der Löschbefehl für nicht leere Verzeichnisse mit Bezug zur inum führt auch zu nix:
# find . -inum 65326 -exec rm -f -ignore-fail-on-non-empty {} \;
invalid option oder unrecognized option


Das mehr so zur Info. Ich werd jetzt doch wieder Windows XP von der Platte booten und dann nach Anleitung die Logs posten.

Bis denne.

Hier nun das GMER Log:

GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-09 18:54:37
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 WDC_WD12 rev.01.0
Running: gmer9i6r7d.exe; Driver: D:\Temp\fxtdapod.sys


---- Kernel code sections - GMER 1.0.15 ----

init                                                                                                                                  C:\WINDOWS\system32\drivers\tifm21.sys    entry point in "init" section [0xEC0D28BF]
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys  section is writeable [0xAA0E7400, 0x82482, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xAA187420]  C:\WINDOWS\system32\drivers\hardlock.sys  entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xAA187420]
.protectÿÿÿÿhardlockunknown last code section [0xAA187200, 0x5105, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys  unknown last code section [0xAA187200, 0x5105, 0xE0000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \Driver\Kbdclass \Device\KeyboardClass0   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice                                                                                                                        \Driver\Kbdclass \Device\KeyboardClass1   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Files - GMER 1.0.15 ----

File                                                                                                                                  C:\xyz\1950017715                         0 bytes
File                                                                                                                                  C:\xyz\4150741015                         0 bytes
File                                                                                                                                  C:\xyz\4150741015\@                       2048 bytes
File                                                                                                                                  C:\xyz\4150741015\click.tlb               2144 bytes
File                                                                                                                                  C:\xyz\4150741015\L                       0 bytes
File                                                                                                                                  C:\xyz\4150741015\L\wjxaiaeh              162816 bytes
File                                                                                                                                  C:\xyz\4150741015\loader.tlb              2540 bytes
File                                                                                                                                  C:\xyz\4150741015\U                       0 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@00000001             45968 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@000000c0             3584 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@000000cb             3072 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@000000cf             1536 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@80000000             26112 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@800000c0             35840 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@800000cb             27648 bytes
File                                                                                                                                  C:\xyz\4150741015\U\@800000cf             27648 bytes

---- EOF - GMER 1.0.15 ----
         

--- --- ---


Und die Logs von OTL im Anhang.

Grüße, Troja007

Kurzer Nachtrag:

Zur Zeit verhält sich der Virus ruhig. Nachdem ich noch mal unter Linux die widerspenstige Datei verschoben, umbenannt und wieder zurück nach c:\xyz verschoben habe, tut sich virusmäßig nix auf dem Notebook.

Bisher war immer nach dem Windows-Neustart mit Dr.Web CureIt! Virenbefall an folgenden Orten zu verzeichnen

c:\windows\system32\drivers
c:\system volume information
c:\windows\assembly

Aber zur Zeit ist da nix. Er findet auf der ganzen Platte nix. Hab aber auch die Internetverbing unter Windows gekappt. Auch im Taskmanager finde ich keine verdächtigen Prozesse. Hm?

Trotzdem will ich natürlich immer noch c:\xyz loswerden.

Zitat:

65326 lrwxrwxrwx 1 surfer surfer 26 Jan 30 2007 xyz -> unsupported reparse point

'xyz' ist das umbenannte '$NTUninstallKB16527$'?
Das kleine L bei Berechtigungsinfos weist auf einen symbolischen Link hin. Mit was das da aber verknüpft ist sieht man nicht. (unsupported reparse point)

Zitat:

rm: can't remove './xyz': Directory not empty

Der Löschbefehl für nicht leere Verzeichnisse mit Bezug zur inum führt auch zu nix:

Zum Löschen von nicht leeren Verzeichnissen wendet man rm -rf an. Ich versteh immer noch nicht, was du da mit der inode-Nummer rumfummeln musstest...aber gut, es sollte sich ja erst durchs Umbenennen löschen lassen - kann ich so nicht nachvollziehen

Du hast ja ne ganze Palette an Tools ausgeführt, das kann ja wohl schlecht alles an Logs sein. Poste alle Logs wenn du dir weiterhin Hilfe benötigst.

Zitat:

Zum Löschen von nicht leeren Verzeichnissen wendet man rm -rf an. Ich versteh immer noch nicht, was du da mit der inode-Nummer rumfummeln musstest...aber gut, es sollte sich ja erst durchs Umbenennen löschen lassen - kann ich so nicht nachvollziehen

Das hab ich ganz am Anfang geschrieben, dass ich schon alles versucht hatte, das Ding zu löschen, unter Windows und von 'ner Linux-CD aus. Natürlich erst mal alle 08/15-Befehle und weil's alles nichts brachte, hab ich halt im Web gesucht, was noch so geht. Daher der Versuch mittels inode-Nr. gefunden. Ich hatte und hab’s auf deine Empfehlung auch noch mal mit rm -rf probiert, ohne Erfolg.

Zitat:

... aber gut, es sollte sich ja erst durchs Umbenennen löschen lassen

Na ja, es gibt doch infizierte Dateien, die sich auch nicht unter Windows löschen oder umbenennen lassen. Wenn man die aber umbenennt (z.B. wenn die Platte extern an einem anderen PC hängt und also nicht von ihr gebootet wurde) kann man sie nach dem nächsten Systemstart löschen. Hab ich sonst bei ähnlichen Problemen immer erfolgreich anwenden können. Aber die Nuss hier ist härter ...

Zitat:

Du hast ja ne ganze Palette an Tools ausgeführt, das kann ja wohl schlecht alles an Logs sein. Poste alle Logs wenn du dir weiterhin Hilfe benötigst.

Nun ja, die Logs hab ich nicht mehr alle. Aber vor allem haben die letzten Scans gar nix mehr gefunden. In meinem Verständnis konnte mit den vorangegangenen Säuberungsaktionen die aktuell infizierten Dateien repariert bzw. gelöscht werden. Ich befürchte aber nach wie vor, dass die Quelle allen Unheils hier hinter c:\xyz lauert. Daher will ich die loswerden.

Ist denn aus den bisher glieferten Logs nix erkennnbar?

Zitat:

Na ja, es gibt doch infizierte Dateien, die sich auch nicht unter Windows löschen oder umbenennen lassen.

Das hat aber einen anderen Grund. Unter Windows kann man in Gebrauch befindliche Dateien bekanntlich nicht löschen und wenn noch Schädlinge aktiv sind, so lassen sich diese Dateien vom Schädling auch nicht löschen.
Wenn du von einem Live-Linux aus startest ist die Windows-Partition für Linux aber nichts weiter als eine nackte "Datenplatte" und hat so nichts mit dem Betriebssystem zu tun. Daher sollte auch eigentlich ein Löschen ohne Probleme möglich sein. Aber ok, der besagte Ordner war ein Symlink mit unter Linux nicht unterstütztem "Ziel", vllt lag es daran.

Poste bitte alle noch vorhandenen Logs.

zumindest kommen mir diese Zeilen aus dem GMER-Log recht "interessant" vor:

Code: Alles auswählenAufklappen

ATTFilter

---- Kernel code sections - GMER 1.0.15 ----

C:\WINDOWS\system32\drivers\tifm21.sys    entry point in "init" section [0xEC0D28BF]
C:\WINDOWS\system32\drivers\hardlock.sys  section is writeable [0xAA0E7400, 0x82482, 0xE8000020]
C:\WINDOWS\system32\drivers\hardlock.sys  entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xAA187420]
C:\WINDOWS\system32\drivers\hardlock.sys  unknown last code section [0xAA187200, 0x5105, 0xE0000020]

---- Files - GMER 1.0.15 ----

C:\xyz\1950017715                         0 bytes
C:\xyz\4150741015                         0 bytes
C:\xyz\4150741015\@                       2048 bytes
C:\xyz\4150741015\click.tlb               2144 bytes
C:\xyz\4150741015\L                       0 bytes
C:\xyz\4150741015\L\wjxaiaeh              162816 bytes
C:\xyz\4150741015\loader.tlb              2540 bytes
C:\xyz\4150741015\U                       0 bytes
C:\xyz\4150741015\U\@00000001             45968 bytes
C:\xyz\4150741015\U\@000000c0             3584 bytes
C:\xyz\4150741015\U\@000000cb             3072 bytes
C:\xyz\4150741015\U\@000000cf             1536 bytes
C:\xyz\4150741015\U\@80000000             26112 bytes
C:\xyz\4150741015\U\@800000c0             35840 bytes
C:\xyz\4150741015\U\@800000cb             27648 bytes
C:\xyz\4150741015\U\@800000cf             27648 bytes
         

GMER ist auch das einzige Tool, was mal das Verzeichnis C:\xyz\ angemeckert hat.

Ich hab noch drei alte Logs gefunden und erstelle grad noch mal neue mit jedem Tool. Kann aber noch bissl dauern ...

Hier nun die Logs von TDSSKIller, aswMBR, Defogger und MBRCheck.
GMER und Dr. Web CureIT! kommen später.

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Auf dem Rechner läuft noch Dr.Web. Dauert also noch etwas.

Was ist denn aus den bisher glieferten Logs ersichtlich?

Hab außerdem weiter nach remove reparse points und remove junction points gegooglt. U.a. hab ich das gefunden: hxxp://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/fsutil.mspx?mfr=true

Ich würde mal fsutil reparsepoint delete C:\xyz probieren. Was meinst du?

Zitat:

Ich würde mal fsutil reparsepoint delete C:\xyz probieren. Was meinst du?

Nein lass das erstmal. Ich will erst die Ergebnisse von MBAM/ESET sehen