| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen)Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
16.04.2010, 20:04
| #1 |
  |  Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Hi, mit BartPE und einem RemoteReg-Editor könntest Du die Treiber im currentcontrollset prüfen, z. B ob der TDSSKiller eine temporäre atapi.sys in der Reg eingetragen hat (unter atapi), irgendwas wie "tmp21.sys". Wenn Du die gelöscht hast, dann nutzt das kopieren auf die atapi.sys nichts... Weiterhin kannst Du den gelöschten Treiber KL*.sys prüfen (gibts den etc.)... Code:
ATTFilter ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
"DisplayName"="IDE-Kanal"
"Group"="SCSI Miniport"
"ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
72,00,69,00,76,00,65,00,72,00,73,00,5c,00,61,00,74,00,61,00,70,00,69,00,2e,\
00,73,00,79,00,73,00,00,00 unicode=>ascii:system32\drivers\atapi.sys
"ErrorControl"=dword:00000003
"Start"=dword:00000000
"Type"=dword:00000001
"Tag"=dword:00000021
...
Zu beachten ist weiterhin, der neue TDSS infiziert noch einen anderen Treiber, nicht nur die atapi.sys... chris&out
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
17.04.2010, 17:08
| #2 | |
 | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen)Zitat:
Ein Ersetzen von atapi.sys, cdrom.sys und redbook.sys half nicht. Mal sehen, ob das noch auf eine komplette Neuinstallation hinausläuft... |
|
17.04.2010, 19:30
| #3 |
| | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Hi,
__________________back to the roots... Mach einen neuen GMER-Lauf und poste das Log... (Ich hasse das TDSS-Teil)... Wie hast Du versucht die Treiber zu kopieren...? Wenn garnichts hilft, Boot-Cd basteln, von der Booten und dann die Festplatte komplett scannen und bereinigen lassen, Treiber ersetzen ... Vorher unbedingt die Systemwiederherstellung ausschalten... Sauberen PC zum Erstellen nutzen! Dr. Web-Live-CD Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/ Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Schnellanweisung für XP: Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)... chris
__________________ |
|
17.04.2010, 23:53
| #4 | |
| | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Der Scan mit GMER läuft immer noch, dauert ewig. Hier die bisherigen Ergebnisse: Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-04-18 00:46:38
Windows 5.1.2600 Service Pack 3
Running: xc97gg3i.exe; Driver: C:\DOKUME~1\MARCUS~1\LOKALE~1\Temp\pwldqpod.sys
---- System - GMER 1.0.15 ----
SSDT 89A65050ZwAlertResumeThread
SSDT 89A41050ZwAlertThread
SSDT 898F99A8ZwAllocateVirtualMemory
SSDT 89A2C050ZwAssignProcessToJobObject
SSDT 89B95A90ZwConnectPort
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xA737D210]
SSDT 89907C50ZwCreateMutant
SSDT 89907738ZwCreateSymbolicLinkObject
SSDT 89905E10ZwCreateThread
SSDT 89A23050ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xA737D490]
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xA737D9F0]
SSDT 898FB718ZwDuplicateObject
SSDT spiz.sysZwEnumerateKey [0xB9EC6CA2]
SSDT spiz.sysZwEnumerateValueKey [0xB9EC7030]
SSDT 898F9808ZwFreeVirtualMemory
SSDT 89A70050ZwImpersonateAnonymousToken
SSDT 89A74050ZwImpersonateThread
SSDT 89B954B0ZwLoadDriver
SSDT 898F9728ZwMapViewOfSection
SSDT 89A3B050ZwOpenEvent
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwOpenKey [0xA737D7A0]
SSDT 899044D8ZwOpenProcess
SSDT 89A40050ZwOpenProcessToken
SSDT 89A88050ZwOpenSection
SSDT 89904408ZwOpenThread
SSDT 89907808ZwProtectVirtualMemory
SSDT spiz.sysZwQueryKey [0xB9EC7108]
SSDT spiz.sysZwQueryValueKey [0xB9EC6F88]
SSDT 89A6C050ZwResumeThread
SSDT 89A43050ZwSetContextThread
SSDT 898F95D0ZwSetInformationProcess
SSDT 89A54050ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xA737DC40]
SSDT 89A2D050ZwSuspendProcess
SSDT 89A9A050ZwSuspendThread
SSDT 89A6D050ZwTerminateProcess
SSDT 89A96050ZwTerminateThread
SSDT 89A42050ZwUnmapViewOfSection
SSDT 898F98D8ZwWriteVirtualMemory
INT 0x62 ? 8B195BF8
INT 0x63 ? 8B195BF8
INT 0x63 ? 8B195BF8
INT 0x63 ? 8B03ABF8
INT 0x83 ? 8B03ABF8
INT 0xA4 ? 8B03ABF8
INT 0xB4 ? 8B03ABF8
---- Kernel code sections - GMER 1.0.15 ----
? spiz.sysDas System kann die angegebene Datei nicht finden. !
? SYMDS.SYS Das System kann die angegebene Datei nicht finden. !
? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB9855000, 0x1C5D58, 0xE8000020]
.text USBPORT.SYS!DllUnload B98348AC 5 Bytes JMP 8B03A1D8
.text ahmj1x0f.SYS B95FE386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text ahmj1x0f.SYS B95FE3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text ahmj1x0f.SYS B95FE3C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text ahmj1x0f.SYS B95FE3C9 1 Byte [2E]
.text ahmj1x0f.SYS B95FE3C9 11 Bytes [2E, 00, 00, 00, 5A, 02, 00, ...]
.text ...
.rsrc C:\WINDOWS\System32\DRIVERS\mouclass.sys entry point in ".rsrc" section [0xBA49C814]
.text C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xA4823400, 0x7960C, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA48C5420] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xA48C5420]
.protectÿÿÿÿhardlockunknown last code section [0xA48C5200, 0x5049, 0xE0000020] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xA48C5200, 0x5049, 0xE0000020]
.text C:\Programme\PowerDVD9\PowerDVD9\000.fcl section is writeable [0xA450F000, 0x2892, 0xE8000020]
.vmp2 C:\Programme\PowerDVD9\PowerDVD9\000.fcl entry point in ".vmp2" section [0xA4532050]
---- User code sections - GMER 1.0.15 ----
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0099000A
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 009A000A
.text C:\WINDOWS\System32\svchost.exe[984] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0098000C
.text C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 0099000A
.text C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 009A000A
.text C:\WINDOWS\system32\wuauclt.exe[1936] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 0098000C
.text C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B6000A
.text C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C0000A
.text C:\WINDOWS\Explorer.EXE[2116] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B5000C
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA9040] spiz.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA913C] spiz.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA90BE] spiz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA97FC] spiz.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA96D2] spiz.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB9048] spiz.sys
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfAcquireSpinLock] C0840CEC
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_UCHAR] 053C0D74
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KeGetCurrentIrql] 57B80974
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfRaiseIrql] 8B000000
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfLowerIrql] 56C35DE5
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!HalGetInterruptVector] 8D08758B
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!HalTranslateBusAddress] 8D51FC4D
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KeStallExecutionProcessor] 8D52FD55
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!KfReleaseSpinLock] 8D51FE4D
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 8D52FF55
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!READ_PORT_USHORT] 8D51F84D
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 5052F455
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[HAL.dll!WRITE_PORT_UCHAR] EACAE856
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[WMILIB.SYS!WmiSystemControl] 0FC08520
IAT \SystemRoot\System32\Drivers\ahmj1x0f.SYS[WMILIB.SYS!WmiCompleteRequest] 0001B185
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8B1941F8
Device \FileSystem\Fastfat \FatCdrom 88C9F1F8
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbuhci \Device\USBPDO-0 8B06D1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8B2061F8
Device \Driver\dmio \Device\DmControl\DmConfig 8B2061F8
Device \Driver\dmio \Device\DmControl\DmPnP 8B2061F8
Device \Driver\dmio \Device\DmControl\DmInfo 8B2061F8
Device \Driver\usbuhci \Device\USBPDO-1 8B06D1F8
Device \Driver\usbuhci \Device\USBPDO-2 8B06D1F8
Device \Driver\usbuhci \Device\USBPDO-3 8B06D1F8
Device \Driver\usbehci \Device\USBPDO-4 8B064500
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8B1961F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8B1961F8
Device \Driver\Cdrom \Device\CdRom0 8AFFE500
Device \Driver\Cdrom \Device\CdRom1 8AFFE500
Device \Driver\atapi \Device\Ide\IdePort0 [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort2 [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c [B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-22[B9DFBB40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\USBSTOR \Device\000000b1 89B981F8
Device \Driver\Cdrom \Device\CdRom2 8AFFE500
Device \Driver\USBSTOR \Device\000000b2 89B981F8
Device \Driver\PCI_PNP4522 \Device\00000074 spiz.sys
Device \Driver\USBSTOR \Device\000000b3 89B981F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89AC3500
Device \Driver\NetBT \Device\NetbiosSmb 89AC3500
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
Device \Driver\usbuhci \Device\USBFDO-0 8B06D1F8
Device \Driver\usbuhci \Device\USBFDO-1 8B06D1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89ABF1F8
Device \Driver\usbuhci \Device\USBFDO-2 8B06D1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89ABF1F8
Device \Driver\USBSTOR \Device\000000ae 89B981F8
Device \Driver\usbuhci \Device\USBFDO-3 8B06D1F8
Device \Driver\USBSTOR \Device\000000af 89B981F8
Device \Driver\usbehci \Device\USBFDO-4 8B064500
Device \Driver\Ftdisk \Device\FtControl 8B1961F8
Device \Driver\sptd \Device\990702022 spiz.sys
Device \Driver\ahmj1x0f \Device\Scsi\ahmj1x0f1 8AFC3500
Device \Driver\ahmj1x0f \Device\Scsi\ahmj1x0f1Port3Path0Target0Lun0 8AFC3500
Device \FileSystem\Fastfat \Fat 88C9F1F8
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
Device \FileSystem\Cdfs \Cdfs 889C21F8
Device -> \Driver\atapi \Device\Harddisk0\DR0 8AEDEAC8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1-1187556267
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2-1133690880
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h01
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh0x93 0x8B 0x95 0x15 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x75 0xD4 0x8E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5A 0x43 0xB3 0x27 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x93 0x8B 0x95 0x15 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x75 0xD4 0x8E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5A 0x43 0xB3 0x27 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x48 0x6A 0x4E 0x1B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x20 0xD7 0xFC 0xA6 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xC6 0x8F 0xED 0xCE ...
Reg HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install
Reg HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install\VxDs
Reg HKLM\SOFTWARE\Microsoft\Windows\Current Version\{8AC25C6A-D4B3-FF2F-2A61-C75CA1DB6116}\Install\VxDs@CTE_32 Name 2455090:{301564B2-67A6-1A66-9C4E-A1FE91DE9752}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 1.1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 1.1@dat 806585365:{5754C873-10E4-8AE6-02E9-83118BF7F169}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 1.1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 1.1@dat 806585365:{9047407A-FA0C-AB7C-FC07-D5FB05433317}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 1.1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 1.1@dat 806585365:{2FEE5103-1EA6-3FB0-3BDF-095536165505}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG10.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 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
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1\dat
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{0F0D1E99-8623-83BD-BFD2-E3141847B5E4}\Install\xga-1\dat@default 516231230:{770DB800-605C-8BB7-4459-2D31DB7A5769}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1\dat
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{1937BC63-5A57-4D79-7510-EEE7E842CD4C}\Install\xga-1\dat@default 516231230:{B4578FAC-C3D8-64F9-92A6-DD2F56877CF1}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1\dat
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\{2FA2F546-7F18-A4EA-8732-3A4EB15DD689}\Install\xga-1\dat@default 516231230:{FB15DFDE-9099-3F28-79DB-2A8F0426D2B5}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 3.x
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{61BAA018-5C0D-5EBA-5152-25F48F6DC09F}\Version 3.x@dat 1767914624:{04CE049B-8CFE-7521-9DCD-490EDE3C0CCD}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 3.x
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{8095FE63-885F-5836-6A33-CC6572F9446C}\Version 3.x@dat 1767914624:{05837F35-2D72-3DF5-F46B-449E2090F84E}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 3.x
Reg HKLM\SOFTWARE\Microsoft\Windows Install VBX\Current\Install\xga-1-{9A9A45AF-F647-BF7D-97EE-3C2793AE20F1}\Version 3.x@dat 1767914624:{B5EFE182-AC35-A29F-F73F-3FE38FCB182E}
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll@AplicationGoo 09S081N0efb?1?1723%
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\smase._dll@ChkAppHelp {55152710-5DE2-4833-6A94-90A6686E817E}
Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version
Reg HKLM\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version@Version 0x44 0x0C 0x58 0x98 ...
Zitat:
|
|
18.04.2010, 16:49
| #5 |
| | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Hi, das GMER-Log ist nicht vollständig, bitte komplett posten... Hast Du Alcohol oder Daemontools installiert? Die bitte deinstallieren, die verfälschen das GMER-Log... chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
19.04.2010, 18:29
| #6 |
| | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Ich konnte den Virus endlich entfernen! Ich weiß nicht genau, was den Virus letztendlich "getötet" hat, aber das hier habe ich gemacht: - Mit der Dr. Web Live CD einen Komplettscan gemacht - Mit BartPE gebootet und atapi.sys, mouclass.sys und ftdisk.sys durch saubere Versionen ersetzt - ComboFix unter Windows ausgeführt Ich habe danach das System mit den neuesten Versionen von Norton 360, Kaspersky TDSSKiller, Norman TDSS Cleaner, Spybot Search&Destroy, GMER und nochmal Combofix gescannt und keine Bedrohungen wurden mehr gefunden. Danke für die Hilfe! |
|
10.05.2010, 20:25
| #7 |
| | Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Es war sicherlich ComboFix. Das leistungsstarke Tool erkennt RootKit-Aktivität und bereinigt auch die *.sys-Dateien, bzw. ersetzt diese durch "saubere" aus dem i386-Ordner. Hier ein Auszug aus einer ComboFix-Logdatei: (((((((((((((((( Weitere Löschungen )))))))))))))))))) . c:\dokumente und einstellungen\user\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Security 2010.lnk c:\dokumente und einstellungen\user\Desktop\Internet Security 2010.lnk c:\windows\pxysdb.dat c:\windows\system32\18467.exe c:\windows\system32\41.exe c:\windows\system32\a99k.bin c:\windows\system32\helper32.dll c:\windows\system32\IS15.exe c:\windows\system32\lowsec c:\windows\system32\lowsec\local.ds c:\windows\system32\lowsec\user.ds c:\windows\system32\Thumbs.db c:\windows\system32\warning.html Infizierte Kopie von c:\windows\system32\DRIVERS\atapi.sys wurde gefunden und desinfiziert Kopie von - c:\windows\ServicePackFiles\i386\atapi.sys wurde wiederhergestellt . ((((((((((( Dateien erstellt von 2010-04-10 bis 2010-05-10 )))))))))) |
|
| Themen zu Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) |
| 0xc0000034, atapi.sys, bluescree, bluescreen, inkompatibel, kaspersky, rootkit, stop: 0x0000007b, tdsskiller, virus eingefangen |
Hybrid-Darstellung
