Hallo,

ich bin Edrahil, zwar kein DAU, aber auch kein Profi und hoffe hier auf Hilfe

Der PC meiner Freundin macht Macken.

Erst mal die Daten: win XP Home SP3, immer aktuell. XP firewall hinter router, ccleaner läuft regelmäßig drüber, antivir 10 als virenschutz, ab und zu malwarebyte im full scan.


Eines vorweg: formatieren ist im moment noch nicht möglich

Hatte bereits letzte Woche Probleme, ausgelöst wahrscheinlich durch scareware (total PC defender oder so), dann dachte ich, die Platte oder sonst ein Bauteil hätte es zerlegt (bsod mit Fehlercode 0x0000024), kein booten mehr, auch nicht im abgesicherten modus, SPTD.sys hat rumgegeistert, habe einiges laufen lassen (Ultimate Boot CD mit Diagnose tools, F-Secure secure disc, mit knoppix daten gerettet, Windows Boot disc mit Wiederherstellungskonsole) und letztlich hat ein einfaches fixmbr oder fixboot alles wieder laufen lassen.

Hört sich ja fast zu einfach an. Vertrauen habe ich jedenfalls noch keinen in den PC.

Beim Surfen mit dem IE (einzig installierter browser) öffnet sich ab und zu ungefragt ein Werbefenster und, wie auch das topic schon sagt, meldet der scan mit GMER verdächtiges bei atapi.sys. (siehe log im anhang) Virtustotal sagt dazu: Ergebnis: 2/39 (5.13%) (log im Anhang)

Malwarebyte hat gestern, synchron mit AV, den Trojaner TR/trash.gen in einer exe gefunden --> gelöscht. Seitdem nichts mehr. (siehe log im Anhang)

alles ohne klare Linie, richtung.

Ideen/Vorschläge/Hinweise? Kann ich atapi.sys irgendwie ersetzen, sofern die datei denn wirklich gefährlich ist?

Schon mal vielen Dank

Gruß Edrahil

Anhang 6148

Anhang 6149

Anhang 6150

oder einfacher: virtus total ergebnislink hxxp://www.virustotal.com/de/analisis/b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9-1270714008

Hi,

TDSS-Killer
Download und Anweisung unter: http://www.trojaner-board.de/82358-t...tml#post640150
Entpacke alle Dateien!

Start.bat erstellen:
Start->alle Programme->Zubehör->Editor und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

@ECHO OFF
TDSSKiller.exe -l report.txt -v
DEL %0
         

• Speichern als: start.bat

• abspeichern unter : Dateityp: alle Dateien

• speichere die Datei im Ordner wo auch TDSSKiller.exe steht

• Doppelklick start.bat

TDSSKiller.exe wird gestartet und ein Log erzeugen(report.txt).
Wenn TDSSKiller fertig ist poste den Inhalt der report.txt.

chris

ok, danke, läuft, melde mich, wenn ich den log habe!

edit: Ups, schon startet er neu, hab wohl grade nicht aufgepasst!

Hoffe das macht nichts? Lass gleich nochmal laufen

edit2: Oh, hat wohl doch was gemacht. Die Desktopdarstellung ist total im Eimer, screen folgt vielleicht gleich

ok, hier ist der fette schwarze Balken auf dem Desktop

(verschwomme symbole sind von mir)




sieht nicht so gut, wie krieg ich den wieder weg?

edit: sry, lag am monitor, auto adjust knopf hats gerichtet

nun nochmal scan

so, hier der killer log bevor ich den Neustart durchgeführt habe (mit dem monitorfehler danach)

Anhang 6152

edit: und der scan eben:

11:42:49:312 3756 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04
11:42:49:312 3756 ================================================================================
11:42:49:312 3756 SystemInfo:

11:42:49:312 3756 OS Version: 5.1.2600 ServicePack: 3.0
11:42:49:312 3756 Product type: Workstation
11:42:49:312 3756 ComputerName: ANNIKA
11:42:49:312 3756 UserName: Calindra
11:42:49:312 3756 Windows directory: C:\WINDOWS
11:42:49:312 3756 Processor architecture: Intel x86
11:42:49:312 3756 Number of processors: 1
11:42:49:312 3756 Page size: 0x1000
11:42:49:312 3756 Boot type: Normal boot
11:42:49:312 3756 ================================================================================
11:42:49:312 3756 UnloadDriverW: NtUnloadDriver error 2
11:42:49:312 3756 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2
11:42:49:375 3756 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system
11:42:49:375 3756 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
11:42:49:375 3756 wfopen_ex: Trying to KLMD file open
11:42:49:375 3756 wfopen_ex: File opened ok (Flags 2)
11:42:49:375 3756 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software
11:42:49:375 3756 wfopen_ex: MyNtCreateFileW error 32 (C0000043)
11:42:49:375 3756 wfopen_ex: Trying to KLMD file open
11:42:49:375 3756 wfopen_ex: File opened ok (Flags 2)
11:42:49:375 3756 Initialize success
11:42:49:375 3756
11:42:49:375 3756 Scanning Services ...
11:42:50:015 3756 Raw services enum returned 372 services
11:42:50:031 3756
11:42:50:031 3756 Scanning Kernel memory ...
11:42:50:031 3756 Devices to scan: 3
11:42:50:031 3756
11:42:50:031 3756 Driver Name: Disk
11:42:50:031 3756 IRP_MJ_CREATE : F74CDBB0
11:42:50:031 3756 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
11:42:50:031 3756 IRP_MJ_CLOSE : F74CDBB0
11:42:50:031 3756 IRP_MJ_READ : F74C7D1F
11:42:50:031 3756 IRP_MJ_WRITE : F74C7D1F
11:42:50:031 3756 IRP_MJ_QUERY_INFORMATION : 804FA88E
11:42:50:031 3756 IRP_MJ_SET_INFORMATION : 804FA88E
11:42:50:031 3756 IRP_MJ_QUERY_EA : 804FA88E
11:42:50:031 3756 IRP_MJ_SET_EA : 804FA88E
11:42:50:031 3756 IRP_MJ_FLUSH_BUFFERS : F74C82E2
11:42:50:031 3756 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
11:42:50:031 3756 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
11:42:50:031 3756 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
11:42:50:031 3756 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
11:42:50:031 3756 IRP_MJ_DEVICE_CONTROL : F74C83BB
11:42:50:031 3756 IRP_MJ_INTERNAL_DEVICE_CONTROL : F74CBF28
11:42:50:031 3756 IRP_MJ_SHUTDOWN : F74C82E2
11:42:50:031 3756 IRP_MJ_LOCK_CONTROL : 804FA88E
11:42:50:031 3756 IRP_MJ_CLEANUP : 804FA88E
11:42:50:031 3756 IRP_MJ_CREATE_MAILSLOT : 804FA88E
11:42:50:031 3756 IRP_MJ_QUERY_SECURITY : 804FA88E
11:42:50:031 3756 IRP_MJ_SET_SECURITY : 804FA88E
11:42:50:031 3756 IRP_MJ_POWER : F74C9C82
11:42:50:031 3756 IRP_MJ_SYSTEM_CONTROL : F74CE99E
11:42:50:031 3756 IRP_MJ_DEVICE_CHANGE : 804FA88E
11:42:50:031 3756 IRP_MJ_QUERY_QUOTA : 804FA88E
11:42:50:031 3756 IRP_MJ_SET_QUOTA : 804FA88E
11:42:50:093 3756 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
11:42:50:093 3756
11:42:50:093 3756 Driver Name: Disk
11:42:50:093 3756 IRP_MJ_CREATE : F74CDBB0
11:42:50:093 3756 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
11:42:50:093 3756 IRP_MJ_CLOSE : F74CDBB0
11:42:50:093 3756 IRP_MJ_READ : F74C7D1F
11:42:50:093 3756 IRP_MJ_WRITE : F74C7D1F
11:42:50:093 3756 IRP_MJ_QUERY_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_EA : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_EA : 804FA88E
11:42:50:093 3756 IRP_MJ_FLUSH_BUFFERS : F74C82E2
11:42:50:093 3756 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_DEVICE_CONTROL : F74C83BB
11:42:50:093 3756 IRP_MJ_INTERNAL_DEVICE_CONTROL : F74CBF28
11:42:50:093 3756 IRP_MJ_SHUTDOWN : F74C82E2
11:42:50:093 3756 IRP_MJ_LOCK_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_CLEANUP : 804FA88E
11:42:50:093 3756 IRP_MJ_CREATE_MAILSLOT : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_SECURITY : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_SECURITY : 804FA88E
11:42:50:093 3756 IRP_MJ_POWER : F74C9C82
11:42:50:093 3756 IRP_MJ_SYSTEM_CONTROL : F74CE99E
11:42:50:093 3756 IRP_MJ_DEVICE_CHANGE : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_QUOTA : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_QUOTA : 804FA88E
11:42:50:093 3756 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1
11:42:50:093 3756
11:42:50:093 3756 Driver Name: atapi
11:42:50:093 3756 IRP_MJ_CREATE : F73E16F2
11:42:50:093 3756 IRP_MJ_CREATE_NAMED_PIPE : 804FA88E
11:42:50:093 3756 IRP_MJ_CLOSE : F73E16F2
11:42:50:093 3756 IRP_MJ_READ : 804FA88E
11:42:50:093 3756 IRP_MJ_WRITE : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_EA : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_EA : 804FA88E
11:42:50:093 3756 IRP_MJ_FLUSH_BUFFERS : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_VOLUME_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_VOLUME_INFORMATION : 804FA88E
11:42:50:093 3756 IRP_MJ_DIRECTORY_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_FILE_SYSTEM_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_DEVICE_CONTROL : F73E1712
11:42:50:093 3756 IRP_MJ_INTERNAL_DEVICE_CONTROL : F73DD852
11:42:50:093 3756 IRP_MJ_SHUTDOWN : 804FA88E
11:42:50:093 3756 IRP_MJ_LOCK_CONTROL : 804FA88E
11:42:50:093 3756 IRP_MJ_CLEANUP : 804FA88E
11:42:50:093 3756 IRP_MJ_CREATE_MAILSLOT : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_SECURITY : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_SECURITY : 804FA88E
11:42:50:093 3756 IRP_MJ_POWER : F73E173C
11:42:50:093 3756 IRP_MJ_SYSTEM_CONTROL : F73E8336
11:42:50:093 3756 IRP_MJ_DEVICE_CHANGE : 804FA88E
11:42:50:093 3756 IRP_MJ_QUERY_QUOTA : 804FA88E
11:42:50:093 3756 IRP_MJ_SET_QUOTA : 804FA88E
11:42:50:093 3756 C:\WINDOWS\system32\drivers\atapi.sys - Verdict: 1
11:42:50:093 3756
11:42:50:093 3756 Completed
11:42:50:093 3756
11:42:50:093 3756 Results:
11:42:50:093 3756 Memory objects infected / cured / cured on reboot: 0 / 0 / 0
11:42:50:093 3756 Registry objects infected / cured / cured on reboot: 0 / 0 / 0
11:42:50:093 3756 File objects infected / cured / cured on reboot: 0 / 0 / 0
11:42:50:093 3756
11:42:50:093 3756 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system
11:42:50:093 3756 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software
11:42:50:109 3756 KLMD(ARK) unloaded successfully

Hi,

hat er beim Ersten Scan was gefunden? Das gepostete Log ist i. O....

GMER noch mal laufen lassen und Dr. Web:

http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris

Ja, der erste scan hatte was gefunden und auch im anschließenden reboot bereinigt.

der gepostete log davon ging wohl unter.

hier ist er nochmal

Anhang 6153


die anderen scans erledige ich gleich.

nochmals danke!

Hi,

TDSS wurde gefunden und bereinigt, wenn die anderen Scanner nichts mehr melden sollte die Kiste jetzt sauber sein...

chris