Hallo zusammen,

ich habe mein PC vor 2 Tage neuinstaliert, da er extrem infiziert war. Ich dachte, dass dadurch alle Schädlinge eliminiert werden. Heute habe mein PC mit GMER gescannt.

Hier der Log:
--------------------------------------------------------------------------
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-04 19:22:40
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----
SSDT F7BAC13C ZwCreateThread
SSDT F7BAC128 ZwOpenProcess
SSDT F7BAC12D ZwOpenThread
SSDT F7BAC137 ZwTerminateProcess
SSDT F7BAC132 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- Files - GMER 1.0.14 ----
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- EOF - GMER 1.0.14 ----
--------------------------------------------------------------------------

Wie ist der Log zu interpretieren?
Wie soll ich vorgehen, um die Schädlinge los zu werden?

Kann mir jemand helfen? Danke!

Grüße
MALICODE?

Hallo

Zitat:

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6

Du hast Dir ein Rootkit eingefangen (wahrscheinlich Sinowal), welches sich auch in den Master Boot Record (MBR) einnistet. Ein Booten von der Windows-CD in die Wiederherstellungskonsole kann das Problem beheben, wenn Du darin den Befehl fixmbr eintippst und ausführst.

Boote Windows danach ganz normal (aus der Konsole kommst Du mit exit ) und mach danach Logfiles mit diesem MBR-Tool sowie DSS - Poste alle Logfiles mit Codetags umschlossen also so

HTML-Code:

[code] Hier das Logfile rein! [/code]

Hallo Root24,

vielen Dank für deine Antwort.
Ich habe die Wiederherstellungskonsole gestartet und den Befehl fixmbr
ausgeführt, und erhielt die Meldung, dass der MBR erfolgreich geschrieben wurde.

Log mbr.exe:
-------------------------------------------------------------------------
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a85062 size 0x1c6 !
------------------------------------------------------------------------

DSS ist abnormal beendet, sodass kein Log erstellt wurde.
Ich habe nochmal mein PC mit GMER gescannt.

Log gmer:
-------------------------------------------------------------------------
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-05 18:19:55
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7BAECCC ZwCreateThread
SSDT F7BAECB8 ZwOpenProcess
SSDT F7BAECBD ZwOpenThread
SSDT F7BAECC7 ZwTerminateProcess
SSDT F7BAECC2 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 24D 804E28A9 3 Bytes [ EC, BA, F7 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- EOF - GMER 1.0.14 ----

Hast du eine Idee, woran es liegt?

Danke, MALICODE?

Da ist irgendwas schiefgelaufen. Der Mist im MBR ist anscheinend immer noch da. Entweder der wurde wieder erneut inifziert oder fixmbr hat einfach nichts gebracht.

Kopier doch mal das MBR-Tool nach c:\ - starte dann die Konsole cmd.exe, wechsele nach C:\ (also ins Rootverzeichnis) und starte die mbr.exe so

Code: Alles auswählenAufklappen

ATTFilter

mbr.exe -f
         

Danach die mbr.exe ohne den Parameter "-f" ausführen, also normal starten - poste dann wieder die Ausgabe zur Überprüfung.

Mir fällt noch was ein. Falls das mit mbr.exe -f ebenfalls nicht klappt, dann mach das mit der Wiederherstellungskonsole nochmal, führe aber diese Befehle nacheinander aus:

Code: Alles auswählenAufklappen

ATTFilter

fixmbr
fixboot
         

Hallo,

vielen Dank Root24 für Deine Beitrag-Lösungen.
Ich habe sie genau durchgeführt.

Log nach Lösung 1:

Code: Alles auswählenAufklappen

ATTFilter

C:\mbr.exe -f
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !
C:\mbr.exe
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !
         

Lösung 2.
Beide Befehle sind einwandfrei durchgeführt worden.
Hier Log2:

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
malicious code @ sector 0x4a85062 size 0x1c6 !
         

Ich muss dazu sagen, dass die Wiederherstellungskonsole nicht von der XP-CD-ROM, sondern mit dem Befehl:

Code: Alles auswählenAufklappen

ATTFilter

C:\I386\WINNT32.EXE /cmdcons
         

gestartet habe.
Die fehlende Daten wurden von Internet Microsoft Corporation downgeloadet.

Kann jetzt allerdings nicht so richtig nachvollziehen, ob der Schädling wirklich gravierenden Schaden auf meinem System anrichtet. Kann er übers Internet ???? aktiviert werden?????
Was kann ich noch machen ?
Danke für Deine Hilfe! MALICODE?