Hi,

Du hast mit hoher Wahrscheinlichkeit den neuen TDSS-Rootkit auf dem Rechner:

Zitat:

File C:\WINDOWS\system32\DRIVERS\cdrom.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

Zwei Möglichkeiten:
Du hast eine XP-Boot CD mit der wie die betroffenen Treiber per Hand ersetzen (Avenger),
oder
du hast folgendes Verzeichnis auf dem Rechner, in dem die beiden Dateien nicht infiziert zur Verfügung stehen (prüfen!):
C:\WINDOWS\ServicePackFiles\i386
Darin müssen die Files "cdrom.sys" und "atapi.sys" zur Verfügung stehen (gesamten Pfad posten)...

chris

ok
ich hab den genannten pfad:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\ServicePackFiles\i386\atapi.sys ist 95 kb groß.
C:\WINDOWS\ServicePackFiles\i386\cdrom.sys ist 62 kb groß.
         

hm die "suspicious modificated" filed sind genauso groß... wahrscheinlich absicht oder?

joNoNi

EDIT:
ich seh grad, dass in BEIDEN pfaden (system32 und i386...) die dateien vorgestern geändert worden sind...?!

Hi,

das war zufällig der Zeitpunkt der Infektion?
Lass das File C:\WINDOWS\ServicePackFiles\i386\cdrom.sys mal bei virustotal.com prüfen... Wobei TDSS seid neustem die Treiber (zumindest die atapi.sys) nur noch im Speicher infiziert, ausserdem gibt er beim Zugriff auf infizierte Dateien die gesicherten Original zurück (dazu nutzt er ein eigenes, angelegtes und veschlüsseltes Dateisystem)... Kann er ja, mit atapi.sys kontrolliert er alle Dateizugriffe...

Wie sieht es mit der XP-Boot-CD aus?

Sonst schaue ich ob ich die Dateien von einem anderen Rechner besorgen kann...
Im Prinzip ist es recht einfach... von CD-Booten, Dateien über die verseuchten kopieren, starten und Virenscanner und chkdsk laufen lassen... vorher die Systemwiederherstellung ausschalten, nicht das die verseuchten Treiber wieder "nachinstalliert" werden. Das Problem dabei: Passiert ein Fehler, bootet Windows nicht mehr ...

chris

hi

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.16 -
AhnLab-V3 5.0.0.2 2010.04.16 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.16 -
Avast5 5.0.332.0 2010.04.16 -
AVG 9.0.0.787 2010.04.16 -
BitDefender 7.2 2010.04.16 -
CAT-QuickHeal 10.00 2010.04.16 -
ClamAV 0.96.0.3-git 2010.04.16 -
Comodo 4616 2010.04.16 -
DrWeb 5.0.2.03300 2010.04.16 -
eSafe 7.0.17.0 2010.04.15 -
eTrust-Vet 35.2.7430 2010.04.16 -
F-Prot 4.5.1.85 2010.04.16 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.16 -
GData 19 2010.04.16 -
Ikarus T3.1.1.80.0 2010.04.16 -
Jiangmin 13.0.900 2010.04.16 -
Kaspersky 7.0.0.125 2010.04.16 -
McAfee 5.400.0.1158 2010.04.16 -
McAfee-GW-Edition 6.8.5 2010.04.16 -
Microsoft 1.5605 2010.04.16 -
NOD32 5034 2010.04.16 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-16.01 2010.04.16 -
Panda 10.0.2.7 2010.04.16 -
PCTools 7.0.3.5 2010.04.16 -
Prevx 3.0 2010.04.16 -
Rising 22.43.04.04 2010.04.16 -
Sophos 4.52.0 2010.04.16 -
Sunbelt 6184 2010.04.16 -
Symantec 20091.2.0.41 2010.04.16 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.16.2280 2010.04.16 -
VirusBuster 5.0.27.0 2010.04.16 -
weitere Informationen
File size: 62976 bytes
MD5...: 1f4260cc5b42272d71f79e570a27a4fe
SHA1..: a80d103eecfe831b93c01f092abcddae90bccd6f
SHA256: b51c2a3ed3c309953d0ea45869c8e464c10f2533dade9e0286af674979098d1d
ssdeep: 1536:WxY6E/OU1rQzm/P174HlqV17EjmwzYVmcsdR:Wj/U1rQ6F74HQV7YYVmcsd
R
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd7f2
timedatestamp.....: 0x480253ad (Sun Apr 13 18:40:45 2008)
machinetype.......: 0x14c (I386)

( 11 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0xb336 0xb380 6.47 5a32f306185e1a4ad2cd99f78fd68f95
.rdata 0xb700 0x7ca 0x800 4.59 b065c91fa7f5b699dfa951ee12c50867
.data 0xbf00 0x50 0x80 2.98 3af530f8b58513e653816241f3fd659b
PAGE 0xbf80 0x101b 0x1080 6.05 3a567203d8c32be151bb69e1e2d2b354
PAGEHIT2 0xd000 0x65 0x80 4.39 52e50ac51e6ac2a003e6f84d722e794d
PAGEHITA 0xd080 0x196 0x200 5.48 9e26e56d44e1e2d1516ae69518e050c9
PAGETOSH 0xd280 0x218 0x280 5.60 15796fdd18f07fbca32fce140b5edff7
PAGE 0xd500 0x110 0x180 1.81 b9ffcbab85ed2ab7cfe06001fcc62b34
INIT 0xd680 0xcde 0xd00 5.64 281ca5d003b86f3af422b4ab89db87e2
.rsrc 0xe380 0x3d8 0x400 3.32 7e2d33ab3e6191db9c89c25eb49d0126
.reloc 0xe780 0xe40 0xe80 6.59 52696ee940c55b8f96b1d57bd654d493

( 3 imports )
> ntoskrnl.exe: IoSetHardErrorOrVerifyDevice, _allshr, MmLockPagableDataSection, KeDelayExecutionThread, _allmul, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, RtlGetVersion, KeInitializeSpinLock, MmUnlockPagableImageSection, RtlFreeUnicodeString, IoSetStartIoAttributes, strchr, memmove, _allshl, IoFreeWorkItem, IoReportTargetDeviceChangeAsynchronous, KeReleaseMutex, _aullshr, KeTickCount, ZwCreateKey, KeBugCheckEx, IoGetAttachedDeviceReference, ObfDereferenceObject, IoGetDriverObjectExtension, sprintf, IoAttachDeviceToDeviceStack, IoDeleteDevice, KeInitializeMutex, KeSetEvent, KeClearEvent, IoReuseIrp, KeInitializeEvent, IofCompleteRequest, KeEnterCriticalRegion, KeWaitForSingleObject, KeLeaveCriticalRegion, IoStartPacket, IoAllocateWorkItem, IoQueueWorkItem, RtlWriteRegistryValue, IoOpenDeviceRegistryKey, RtlQueryRegistryValues, ZwClose, swprintf, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, IoFreeMdl, IoFreeIrp, ExAllocatePoolWithTag, IoBuildAsynchronousFsdRequest, ExFreePoolWithTag, IofCallDriver, IoGetConfigurationInformation, IoWMIRegistrationControl, RtlInitUnicodeString, WmiQueryTraceInformation, WmiTraceMessage, IoAllocateDriverObjectExtension, IoStartNextPacket
> HAL.dll: KfRaiseIrql, KfAcquireSpinLock, KfReleaseSpinLock, KeGetCurrentIrql, KeRaiseIrqlToDpcLevel, KfLowerIrql
> CLASSPNP.SYS: ClassGetVpb, ClassDisableMediaChangeDetection, ClassFindModePage, ClassSpinDownPowerHandler, ClassInitialize, ClassDeleteSrbLookasideList, ClassGetDriverExtension, ClassInitializeSrbLookasideList, ClassQueryTimeOutRegistryValue, ClassReadDriveCapacity, ClassInitializeMediaChangeDetection, ClassGetDeviceParameter, ClassSetDeviceParameter, ClassResetMediaChangeTimer, ClassScanForSpecial, ClassReleaseQueue, ClassBuildRequest, ClassSplitRequest, ClassClaimDevice, ClassCreateDeviceObject, ClassUpdateInformationInRegistry, ClassInterpretSenseInfo, ClassEnableMediaChangeDetection, ClassIoComplete, ClassSendSrbAsynchronous, ClassSendSrbSynchronous, ClassSendDeviceIoControlSynchronous, ClassAsynchronousCompletion, ClassSendStartUnit, ClassAcquireRemoveLockEx, ClassReleaseRemoveLock, ClassCompleteRequest, ClassDeviceControl

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: SCSI CD-ROM Driver
original name: cdrom.sys
internal name: cdrom.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Kaspersky): PE_Patch

schon wieder 0 von 40 analysen...

hab nur eine recovery cd von fujitsu siemens... tut das auch?

infektionsdatum war vor wochen, bevor ich den pc neu aufgesetzt habe, im februar...

joNoNi

ja, das war der tag, an dem das aufgetaucht ist!

übrigens: zu der atapi.sys findet er ein ergebnis:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.50 2010.04.16 -
AhnLab-V3 5.0.0.2 2010.04.16 -
AntiVir 7.10.6.115 2010.04.16 -
Antiy-AVL 2.0.3.7 2010.04.16 -
Authentium 5.2.0.5 2010.04.16 -
Avast 4.8.1351.0 2010.04.16 -
Avast5 5.0.332.0 2010.04.16 -
AVG 9.0.0.787 2010.04.16 -
BitDefender 7.2 2010.04.16 -
CAT-QuickHeal 10.00 2010.04.16 -
ClamAV 0.96.0.3-git 2010.04.16 -
Comodo 4616 2010.04.16 -
DrWeb 5.0.2.03300 2010.04.16 -
eSafe 7.0.17.0 2010.04.15 Win32.Rootkit
eTrust-Vet 35.2.7430 2010.04.16 -
F-Prot 4.5.1.85 2010.04.16 -
F-Secure 9.0.15370.0 2010.04.16 -
Fortinet 4.0.14.0 2010.04.16 -
GData 19 2010.04.16 -
Ikarus T3.1.1.80.0 2010.04.16 -
Jiangmin 13.0.900 2010.04.16 -
Kaspersky 7.0.0.125 2010.04.16 -
McAfee 5.400.0.1158 2010.04.16 -
McAfee-GW-Edition 6.8.5 2010.04.16 -
Microsoft 1.5605 2010.04.16 -
NOD32 5034 2010.04.16 -
Norman 6.04.11 2010.04.16 -
nProtect 2010-04-16.01 2010.04.16 -
Panda 10.0.2.7 2010.04.16 -
PCTools 7.0.3.5 2010.04.16 -
Prevx 3.0 2010.04.16 -
Rising 22.43.04.04 2010.04.16 -
Sophos 4.52.0 2010.04.16 -
Sunbelt 6184 2010.04.16 -
Symantec 20091.2.0.41 2010.04.16 -
TheHacker 6.5.2.0.262 2010.04.15 -
TrendMicro 9.120.0.1004 2010.04.15 -
VBA32 3.12.12.4 2010.04.15 -
ViRobot 2010.4.16.2280 2010.04.16 -
VirusBuster 5.0.27.0 2010.04.16 -
weitere Informationen
File size: 96512 bytes
MD5...: 9f3a2f5aa6875c72bf062c712cfa2674
SHA1..: a719156e8ad67456556a02c34e762944234e7a44
SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9
ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb
DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x159f7
timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)
machinetype.......: 0x14c (I386)

( 9 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7
NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29
.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708
.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834
PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9
PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863
INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3
.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab
.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress
> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR
> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): PE_Patch
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: IDE/ATAPI Port Driver
original name: atapi.sys
internal name: atapi.sys
file version.: 5.1.2600.5512 (xpsp.080413-2108)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

joNoNi

nochmal ne frage:

auf meiner cd-rom befinden sich die dateien
atapi.sy_
cdrom.sy_

kann man die nich einfach rüberkopieren und in .sys ändern?

die ham ne ganz andre dateigröße... (49 bzw. 25 kb)...

joNoNi

Hi,

auf keinen Fall (sind gepackt!), dazu gehst Du in eine CMD (Start->ausführen "cmd"), dort benutzt du das expand Utility:

Code: Alles auswählenAufklappen

ATTFilter

expand atapi.sy_ c:\STreiber\atapi.sys
         

(Treiber ist ein temporäres Verzeichnis, extra anlegen dafür.)
Beide Dateien auspacken, dann von CD boote und die Dateien in das c:\windows\system32\Drivers kopieren (und damit die verseuchten überschreiben)...

chris

Hi,

schon mit der Wiederherstellungskonsole oder?

Wenn mein Ordner, wo die entpackten Dateien temporär gespeichert sind, jetzt Treiber heißt, stimmt das:

Code: Alles auswählenAufklappen

ATTFilter

copy C:\Treiber\atapi.sys [C:\WINDOWS\system32\atapi.sys]
         

(das gleiche mit cdrom)

oder ohne die [] ??

der meint, man könnte die Dateien auch direkt von der CD nehmen, die würden dann automatisch entpackt... ich weiß nur nicht, wie ich in der Konsole auf die CD zugreife...

joNoNi

Hi,

ja in der Wiederherstellungskonsole aber von CD. Das Windows von Platte darf nicht laufen, da dann schon die Treiber geladen sind und Du sie nicht überbügeln kannst.

Die eckigen Klammern kannst Du weg lassen...
Also:

Code: Alles auswählenAufklappen

ATTFilter

copy C:\Treiber\atapi.sys C:\WINDOWS\system32\atapi.sys
         

Den zweiten Treiber auch so kopieren...

chris

Ok danke, aaaaaaber...

wenn ich die Wiederherstellungskonsole aufrufe, fragt der mich, auf welcher Partition ich mich anmelden möchte... da, wo ich die Zahl eingeben muss... was soll ich anstelle dessen eingeben?

joNoNi

Hi,

hast Du ein Multibootvolumen? Normalerweise ist das 1 (für die erste Partition)...

Hier was weiterführendes :
Beschreibung der Windows*XP-Wiederherstellungskonsole für fortgeschrittene Benutzer

Zitat:

Nach dem Starten der Windows-Wiederherstellungskonsole wird die folgende Meldung angezeigt:
Microsoft Windows(R)-Wiederherstellungskonsole

Die Wiederherstellungskonsole bietet Reparatur- und Wiederherstellungsfunktionen.
Geben Sie 'exit' ein, um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten.

1: C:\WINDOWS

Bei welcher Windows-Installation möchten Sie sich anmelden?
Drücken Sie die EINGABETASTE, um den Vorgang abzubrechen.
Geben Sie die Nummer der gewünschten Windows-Installation ein. In diesem Beispiel würden Sie die 1 drücken. Anschließend fordert Windows Sie auf, das Kennwort für das Administratorkonto einzugeben.

Hinweis Wenn Sie dreimal ein falsches Kennwort eingeben, wird die Windows-Wiederherstellungskonsole geschlossen. Falls die Datenbank der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) fehlt oder beschädigt ist, können Sie die Windows-Wiederherstellungskonsole nicht verwenden, da Sie nicht korrekt authentifiziert werden können. Nachdem Sie das Kennwort eingegeben haben und die Windows-Wiederherstellungskonsole gestartet wurde, geben Sie Exit ein, um den Computer neu zu starten.

chris

OK danke

jetzt noch ne Frage, wenn ich den copy befehl benutze, verweigert er den Kopiervorgang und wenn ich in ein Verzeichnis reinwill mit cd kommt "Zugriff verweigert". Wie lässt sich des machen?

Und wie war das mit chkdsk? mit /p und /r oder mal ohne?

joNoNi

OK hat sich erledigt... hab den temporären ordner net in WINDOWS reingetan.. :P

hat geklappt
was sollt ich jetz noch machen?
euch noch n paar Logfiles geben?

joNoNi

Hi,

noch mal bitte ein GMER-Log...
Worin lagen die Probleme...

chris

So,

GMER stürzt selbst im abgesicherten Modus ab, im normalen Windows geht nach einer unbestimmten Zeit mein Prozess avguard.exe (Avira?!) und vor allem lsass.exe so hoch, dass meine CPU zu 100% ausgelastet sind und nichts mehr geht... Die beruhigen sich dann au nich mehr...

help joNoNi