Hi,

entweder die Einträge sind vorher entfernt worden, oder sie werden von dem Rootkit überwacht, so dass ein Löschen etc. nicht geht...

Also müssen wir doch zum letzten Mittel greifen...
Hast Du notfalls ein Backup, falls die folgenden Sachen schief gehen?

Folgendes:
ich lasse Dir über PM einen Link zukommen, über den Du eine gepackte Datei runterladen kannst.
Du legst zwei Verzeichnisse auf dem Rechner an:
C:\VIRUS
und
C:\TEST
Die gepackte Datei entpackst Du bitte in das Verzeichnis Test.
Du solltest darin folgende Dateien vorfinden:
iaStor.sys
und
atapi.sys

Rechner runterfahren und von XP-CD booten, in die Rettungskonsole wechseln.
CMD aufrufen und jetzt auf Laufwerk c wechseln (Eingabe von C:),
dann navigieren in das Windows\system32\drivers - Verzeichns
(Eingabe von cd \Windows\system32\drivers)
Jetzt kopieren wir die verseuchten Exemplare nach c:\VIRUS
copy iaStor.sys \VIRUS\iaStor.sys.vir
copy atapi.sys \VIRUS\atapi.sys.vir

Nun die nicht verseuchten in das Treiberverzeichnis...
copy \TEST\iaStor.sys .
copy \TEST\atapi.sys .

(Du wirst gefragt "Überschreiben j" -> J auswählen!
Beachte den Punkt in der Copyanweisung! Zuerst ein Leerzeichen, dann der Punkt!)
Prüfe nun ob beide Dateien angekommen sind...
Dir iaStor.sys
Dir atapi.sys
Es sollte jeweils eine Datei angezeigt werden!

Danach CD raus neu booten, Rechner vorher vom Netz trennen und gleich noch mal ComboFix starten...

Good Luck!
chris

chris

Hallo,

also irgendwas mache ich wohl falsch. Computer Neustarten mit Recovery CD im Laufwerk. Dann kommt ein schwarzer Bildschirm - "W" für Wiederherstellen des Systems, "F" für Formatieren der Platte, alle Daten gehen verloren oder "V" für Abbruch -> dann ja wohl "W"

Daraufhin startet der "HP Backup und Recovery Manager"
1. Wiederherstellen des Computers im Zustand zu einem bestimmten Zeitpunkt
2. Werkseinstellungen des Computers wiederherstellen und eigene Dateien sichern
3. das ursprüngliche Betriebssystem, Treiber, Hilfsprogramme und Programme wiederherstellen
4. Dateien sichern

Was wäre denn hier die richtige Wahl 2 oder 3? Oder kann ich so gar nicht erreichen, was wir wollen?

Ich hatte auch noch eine andere originale XP Recovery-CD. Wenn ich die benutze und beim Hochfahren statt "normal booten" "Recovery" auswähle, kommt ein blauer Bildschirm mit einer Warnmeldung, ich solle alle Festplattenanschlüsse überprüfen, es konnte keine Platte gefunden werden.

Das klingt alles wenig erfreulich. Das Merkwürdige ist, dass diese nervigen Browserfenster gar nicht mehr aufgehen. Aber das System krankt ja wohl trotzdem noch.

Hi,

das ist seltsam (jetzt kein Befund mehr).

Hast Du CureIT laufen lassen und der hat was gefunden?

Bitte neues GMER-Log erstellen und posten...

chris

Ich habe jetzt Dr Web/Cureit gestartet und den vollständigen Scan gewählt. Das dauert natürlich wieder. Aber schon nach kurzer Zeit gab es einen Fund und zwar den BackDoor.Tdss.565, der daraufhin angeblich beseitigt wurde. Das klingt ja schon wieder positiv. Mal sehen, was am Ende der Prozedur passiert. Das CureIT soll ja im abgesicherten Modus gestartet werden. Das funktionierte bei mir nicht; immer blauer Bildschirm mit Absturzmeldung. Also bin ich über msconfig und den Diagnosesystemstart gegangen, das klappte. Ich hoffe, das macht jetzt keinen Unterschied für Cureit.

Habe auf der Website von DrWeb die Meldung gefunden, dass sie mit den neuen Modifikationen dieses Rootkits gut umgehen können. Ich hoffe, das stimmt.
Dr.Web - ????????????? ?????????? ?????????????? ????????????. ??????????? ?????? ?? ????????-?????.

Hi,

ja, auch in einem anderen Fall hat Dr. Web/Cureit Erfolg gegen TDSS gehabt.
Poste auf jeden Fall das Log von Dr. Web und ein neues GMER log (Rootkitscann). Falls Dr. Web es nicht schafft, machen wir es "händisch"...

chris

Hallo,

der Scan mit DrWeb lief ewig aber das Log sieht doch vielversprechend aus.

Code: Alles auswählenAufklappen

ATTFilter

Speichervorgang: C:\Dokumente und Einstellungen\gogoli\Desktop\drweb-cureit.exe:276;;BackDoor.Tdss.565;Beseitigt.;
ComboFix.exe\32788R22FWJFW\FIND3M.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Dokumente und Einstellungen\gogoli\Desktop\ComboFix.exe;Wahrscheinlich BATCH.Virus;;
ComboFix.exe;C:\Dokumente und Einstellungen\gogoli\Desktop;Archiv enthält infizierte Objekte;Verschoben.;
baureg.exe;C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin;Nicht desinfizierbar.Verschoben.;
A0071113.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071125.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071201.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
A0071243.bat;C:\System Volume Information\_restore{B32AEE6A-215A-4A68-95FC-9CABBF245D43}\RP370;Wahrscheinlich BATCH.Virus;;
iaStor.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.565;Desinfiziert.;
         

Aber GMER ist nicht so begeistert, ich sehe schon zu Beginn des Scans die gleichen Zeilen wie vordem. Ich poste, wenns fertig ist.

Hi,

wenn das wirklich zutrifft:
C:\Programme\MEINHAUSPLANER\PROG\CADAVA;BackDoor.Bifrost.origin;
dann solltest Du Neuaufsetzen...
Hast Du das Programm gekauft oder ist das eine gecrackte Version?

chris
Ps.: Du solltest zwischen dem Dr.Web-Lauf und GMER u. U. mindestens einmal booten...