habe Dir hier geantwortet bzw die einzig sichere Methode vorgeschlagen:-> http://www.trojaner-board.de/109267-...tml#post773550
.

ok,
danke für die hilfe soweit.
da nun nichts mehr zu retten ist werde ich noch ein bissel mit den Virus/Rootkit rumspielen.

nicht jede Krankheit heilbar...leider ist so!
Trenne deinen PC bitte von der Internetleitung, Du gefährdest somit andere User! Botnetze nennt man "Zombierechner"!

Hi Kira,
keine Angst, der Rechner hängt nur unter Linux (Parted Magic bzw ubcd) am Netz.
Habe ein paar infizierte Dateien aus dem recycler entfernt (virustotal online scanner).
Leider bekomm ich die junctions (unknown reparsepoint) unter linux net weg, und unter windows blockt sie das rootkit.
werde heute abend mal mit fsutil per USB an externem Rechner diese nicht löschbaren Hardlinks entfernen und mal einen grub loader aufspielen. dann sollte das eigentliche Virusdatenreservoir erst mal trocken liegen.
Der Virus liegt unter %systemroot%/$NtUninstall15702$ (und vermutlich einem MBR-/Bios schadcode, der diese junction bei jedem boot wieder restauriert).
Kennst du bzw. funktioniert die manuelle Löschung wie unter sirefef.com beschriebben?

edit:
der verborgene Pfad ist
d:\windows\$NtUninstallKB14502$

Basteln zahlt sich nicht aus!:-> http://www.trojaner-board.de/109267-...tml#post773550
Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Daten, formatiere dein System und setze es neu auf. Formatieren und Neuaufsetzten geht schneller als das System sauber zu bekommen und nur so kannst Du sicher sein, dass dein Arbeitsspeicher virenfrei ist!

Neues von der Front:
(inzwischen hat mich der Ehrgeiz gepackt das Rootkit zu bezwingen)
1. es ist ein rootkit.0access.h - meldete mir heute mbam mit Platte an externem Rechner
(anscheinend findet der Signaturupdate heute mehr als vor 14 Tagen). 17 dlls aus windows/system32 gelöscht, jeweils rund 6kB groß
2. das rootkit repository kopiert sich als junction in windows/$NtUninstallKB*****$ (zu erkennen an der 5-stelligen Nummer, übliche MS bugfixes sind 6-7 stellig).
Die Junction lässt sich nach der Anleitung unter sirefef.com löschen (sirefef=0access=max+ rootkit).
3. eine weitere Rootkit Repository versteckt sich unter SystemVolumeinformation/_restore******.
Diese kann man wenn die Platte extern gemounted ist (linux oder weiterer Windowspc) löschen
4. jeweils 2 low level Treiber werden unter den SDevicetreibern zufällig ausgewählt und überschrieben- diese Dateien werden von den Virusscannern im infizierten System erkannt, leider nicht die oben genannten, da sich das Rootkit selber abschirmt. Als Folge gehen bei mehrfachen Misserfolgen wegen der nicht vollständigen Reparatur immer mehr Devicetreiber verloren, muss man also wieder über die externe Methode von einem sauberen Windowsrepository ergänzen.
5. In der Registry nisten sich dutzende Fake Devicetreiber (alle mit hohem numerischen Namen) ein, da muss ich heute abend mal sehen wie man das extern bereinigen kann.

verwendete cdimages:
Ultimate boot cd
OTLPE
weiterer windowsrechner

Leider lässt sich nicht alles mit einem Image machen :-(
OTLPE bootet zwar, darauf lässt sich aber kein MBAM oder GMER installieren, Combofix weiß nichts von externer windowspartition etcpp.
Und ein Start des angeschlagenen Windows verhindert wegen der Stealth Technology ein sauberes Bereinigen, so dass sich wieder alles zurückbildet.
auf jeden Fall: es bleibt spannend

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.29.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
*** :: **** [Administrator]

29.02.2012 07:33:44
mbam-log-2012-02-29 (07-33-44).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 15151
Laufzeit: 11 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 17
N:\WINDOWS\system32\msdv.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\rtl8139.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\s217mgmt.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\tfsnpool.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\VAIOMediaPlatform-MusicServer-UPnP.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\cqcpu.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\awlegacy.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\dot4scan.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\nvpvrmon.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\se2Eunic.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\symsecureport.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\transactional.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\UDFReadr.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\carboncopy32.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sonywbms.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\sprtsvc_dellsupportcenter.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
N:\WINDOWS\system32\pptchpad.dll (RootKit.0Access.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Moin.
Sind das auch 0-access Leichen?
Wie kann ich ein registry file editieren ohne das zugehörige system zu booten?
Geht das mit OTLPE, und wie wäre der Befehl dafür?

Ohne Formatierung kommst Du leider nicht drumm herum! Sichtbare Ebenen kann man ja einiges entfernen, dabei bleiben unsichtbare erhalten. Was ist Rootkit?:-> Rootkit
Festplatte formatieren und Windows neu einrichten dauert ein paar Stunden!
Du hast dich am 06.02.2012 hier bei uns registriert, am 14.02.2012 Dir mitgeteilt, dass man diese Art von Befall durch Systembereinigung nicht beheben kann!

Hallo Kira,
das System läuft wieder.
Auch wenn es deiner Meinung nach unsicher ist, ohne Neuformatierung.
Habe einiges über den internen Windowsaufbau gelernt, und das war mir den Zeitaufwand eindeutig wert.
---------------------------------------
Für alle die über google auf diesen Thread stoßen:
-Bereinigung gelingt nur über externes System, so dass das Rootkit nicht aktiv ist (Boot über windows rescue cd oder Festplatte per USB an Fremdrechner anschließen)
- Die betroffenen Dateien findet dann ein Virenscanner z.B. MBAM.
- die junctions (getarnt als windows Hotfix) kann man nach Anleitung von sirefef.com entfernen
- die Wiederherstellungspunkte hab ich auch eliminiert (System volume)
- man muss einige überschriebene Systemtreiber von einem sauberen Windowssystem nach system32 kopieren. Sicherheitshalber das ganze dir wiederhergestellt.
- da sich der Virus u.a. im Netzwerktreiber netbt eingenistet hatte, musste ich die Registry in diesem Bereich (Netzwerk) komplett restaurieren, deshalb hatte Kira schon Recht, dass der Zeitaufwand dafür eigentlich nicht lohnt.
- Ich lebe mit der Gefahr, dass die Rootkitrepository (siehe Beschreibung zu zeroaccess bzw sirefef) noch irgendwo verschlüsselt auf der Festplatte rumliegt. Ohne die passenden Dekodierroutinen, die ja vom Virenscanner entfernt wurden, macht das mir nichts aus. Zusätzlich habe ich mit CCleaner den freien Festplattenbereich geschreddert.
Ich danke für den Support.

ps logischerweis benutze ich diesen Rechner vorerst nicht für Homebanking und -shopping :-)