Hallo Christian,

was passiert genau? Bleibt der Scan bei einer bestimmten Datei stehen? Evtl. noch mal testen, bitte.

Moin,

ich bleibe nicht die ganze Zeit neben dran, bin aber der Meinung, dass er bis zum Ende scannt, dann aber nichts mehr geht.
Kopie kann ich klicken, dann kommt die Meldung, dass es im Zwischenspeicher ist.
Danach geht nichts mehr:

Hier mal ein Foto vom Bildschirm.




Christian

Es wird wohl eine Systemdatei manipuliert sein. Da sie bei laufendem Windows gesperrt ist, musst du von außen zugreifen, um sie auszutauschen.


Lad Dir bitte von hier eine saubere atapi.sys am besten direkt auf c: herunter, danach:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens ist es /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad
7. Kopiere die saubere atapi.sys in den Pfad hinein (/windows/system32/drivers) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (atapi.bad in system32\drivers) bei Virustotal auswerten lassen und Ergebnislink posten
10. Einen neuen Durchlauf mit GMER machen und Log posten

Hallo Franz,

mein Problem ist nun, dass ich Windows garnicht mehr hochfahren kann.
Auch nachdem ich alles rueckgaengig gemacht habe.
PC bootet bis

@Verifying PMA POOL Data@ und startet dann neu.

hab ich was falsch gemacht_

gruss
Christian

Hast du die "alte" atapi.sys erst umbenannt und dann die frisch heruntergeladene atapi.sys an ihre Stelle kopiert (in windows\system32\drivers)?

Hallo Franz,
genau so habe ich es gemacht.

Nun faehrt er nicht mehr hoch und von CD bootet er auch nur, wenn ich F8 druecke.
Obwohl im BIOS zuerst CD, dann HD steht.

Christian

Hast du die umbenannte Datei, also die atapi.bad, bei Virustotal scannen können?

Hallo Franz,
habe es gerade mal gecheckt.
hier das Logfile
Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit

Beim Kopieren der sauberen Datei muss etwas schiefgegangen sein. Ein anderer Grund dafür, dass der Rechner plötzlich nicht mehr hoch fährt, kommt eigentlich nicht in Frage.
Mach bitte die gesamte Prozedur mit der PartedMagic-CD noch einmal.

Moin,

hab alles nochmal gemacht, ausser die CD zu brennen.
Es sieht so aus, als ob garnichtb auf die Festplatte yugegriffen wird, yum booten.
was hat das mit dem mounten eigentlich auf sich?

Gruss
Christian

Mounten bedeutet, deine logischen Laufwerke für Linux - du hattest ja mit einer Linux-Live-CD gebootet - zugänglich zu machen. Linux verwendet im Gegensatz zu Windows keine Buchstaben für die logischen Laufwerke, sondern bindet sie bzw. ihre Dateistruktur quasi in seine "eigene" Struktur ein. So konntest du von Linux aus auf deine Dateien auf der Festplatte zugreifen.

Wenn der Rechner nach wie vor nicht von der Festplatte bootet, boote noch einmal Linux und benenne die atapi.bad wieder um in atapi.sys. Wir müssen dann noch mal aus einer anderen Richtung ran.

Hallo Franz,

nachdem nun doch alles wieder finktioniert, habe ich GMER nochmal gestartet.
diesesmal konnte ich das Log speichern, aber danach kein Firefox starten und den PC auch nicht herunterfahren --> RESET

hier das LOG

Zitat:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-25 20:58:11
Windows 5.1.2600 Service Pack 3
Running: j80uh0p0.exe; Driver: C:\DOKUME~1\C\LOKALE~1\Temp\pxtdqpow.sys


---- System - GMER 1.0.15 ----

SSDT BA711A46 ZwCreateKey
SSDT BA711A3C ZwCreateThread
SSDT BA711A4B ZwDeleteKey
SSDT BA711A55 ZwDeleteValueKey
SSDT BA711A5A ZwLoadKey
SSDT BA711A28 ZwOpenProcess
SSDT BA711A2D ZwOpenThread
SSDT BA711A64 ZwReplaceKey
SSDT BA711A5F ZwRestoreKey
SSDT BA711A50 ZwSetValueKey
SSDT BA711A37 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB4B0C000, 0x188C14, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!DefWindowProcA + 11A 7E37C298 7 Bytes JMP 10031D10 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!SetWindowRgn + 2BD 7E37E7E5 7 Bytes JMP 10031C80 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2576] USER32.dll!SetClipboardData + 19D 7E38113B 7 Bytes JMP 10031CF0 D:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Devices - GMER 1.0.15 ----

Device \Driver\BTHUSB \Device\00000078 bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)
Device \Driver\BTHUSB \Device\0000007a bthport.sys (Bluetooth-Bustreiber/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001bdc0f9fa8
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF8 0xE4 0x47 0xCB ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001bdc0f9fa8 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xF8 0xE4 0x47 0xCB ...

---- EOF - GMER 1.0.15 ----

Gruss
Christian

GMER sieht gut aus. Was hast du gemacht, um den Rechner wieder ans Laufen zu bringen? Hat das Zurückbenennen ausgereicht?

Hallo Franz,

hatte es schon vor meinem letzten Posting zurückgeändert, hat nicht geklappt.
Hab dann die ganze Prozedur, wie schon geschrieben nochmal gemacht, hatte aber auch nichts gebracht.

Am nächsten Tag habe ich den PC eingeschaltet und es ging.
Kann aber nicht sagen warum

Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen?

Gruss
Christian

Zitat:

Zitat von christian_p

Meinst du mein PC ist asuber, oder sollte ich noch was unternehmen?

Wir werden gucken, bis keine Malware-Einträge mehr zu sehen sind, aber das heißt grundsätzlich nicht, dass keine Malware mehr da ist. Eine Garantie auf einen sauberen Rechner gibt es grundsätzlich nur nach einer sachgerecht ausgeführten Neuinstallation.

Da GMER wider Erwarten keinen Hinweis auf ein Rootkit erbracht hat, möchte noch mal nachhaken: Führe dazu TDSS-Killer aus:

- Download von hier
- ZIP entpacken in einen eigenen Ordner
- ALLE Programme schließen, v.a. Virenscanner deaktivieren!
- Wenn Du aufgefordert wirst den PC neuzustarten, so drücke y um das zu tun
- nach dem Neustart Log vom TDSS-Killer posten (sollte direkt auf c: liegen)


Führe außerdem noch einmal aus:

1.) Malwarebytes (vorher aktualisieren), danach:

2.) RSIT, diesmal auch die info.txt posten