|
Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe! Hallo zusammen, ich habe mein PC vor 2 Tage neuinstaliert, da er extrem infiziert war. Ich dachte, dass dadurch alle Schädlinge eliminiert werden. Heute habe mein PC mit gmer gescannt. Hier der Log: -------------------------------------------------------------------------- GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-08-04 19:22:40 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7BAC13C ZwCreateThread SSDT F7BAC128 ZwOpenProcess SSDT F7BAC12D ZwOpenThread SSDT F7BAC137 ZwTerminateProcess SSDT F7BAC132 ZwWriteVirtualMemory ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6 ---- Files - GMER 1.0.14 ---- Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) ---- EOF - GMER 1.0.14 ---- -------------------------------------------------------------------------- Wie ist der Log zu interpretieren? Wie soll ich vorgehen, um die Schädlinge los zu werden? Kann mir jemand helfen? Danke! Grüße MALICODE? |
Hallo Zitat:
Boote Windows danach ganz normal (aus der Konsole kommst Du mit exit ;) ) und mach danach Logfiles mit diesem MBR-Tool sowie DSS - Poste alle Logfiles mit Codetags umschlossen also so HTML-Code: [code] Hier das Logfile rein! [/code] |
Hallo Root24, vielen Dank für deine Antwort. Ich habe die Wiederherstellungskonsole gestartet und den Befehl fixmbr ausgeführt, und erhielt die Meldung, dass der MBR erfolgreich geschrieben wurde. Log mbr.exe: ------------------------------------------------------------------------- Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK malicious code @ sector 0x4a85062 size 0x1c6 ! ------------------------------------------------------------------------ DSS ist abnormal beendet, sodass kein Log erstellt wurde. Ich habe nochmal mein PC mit gmer gescannt. Log gmer: ------------------------------------------------------------------------- GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2008-08-05 18:19:55 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT F7BAECCC ZwCreateThread SSDT F7BAECB8 ZwOpenProcess SSDT F7BAECBD ZwOpenThread SSDT F7BAECC7 ZwTerminateProcess SSDT F7BAECC2 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- .text ntoskrnl.exe!_abnormal_termination + 24D 804E28A9 3 Bytes [ EC, BA, F7 ] ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions) ---- Disk sectors - GMER 1.0.14 ---- Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6 ---- EOF - GMER 1.0.14 ---- Hast du eine Idee, woran es liegt? Danke, MALICODE? |
Da ist irgendwas schiefgelaufen. :confused: Der Mist im MBR ist anscheinend immer noch da. Entweder der wurde wieder erneut inifziert oder fixmbr hat einfach nichts gebracht. Kopier doch mal das MBR-Tool nach c:\ - starte dann die Konsole cmd.exe, wechsele nach C:\ (also ins Rootverzeichnis) und starte die mbr.exe so Code: mbr.exe -f |
Mir fällt noch was ein. Falls das mit mbr.exe -f ebenfalls nicht klappt, dann mach das mit der Wiederherstellungskonsole nochmal, führe aber diese Befehle nacheinander aus: Code: fixmbr |
Hallo, vielen Dank Root24 für Deine Beitrag-Lösungen. Ich habe sie genau durchgeführt. Log nach Lösung 1: Code: C:\mbr.exe -fBeide Befehle sind einwandfrei durchgeführt worden. Hier Log2: Code: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.netCode: C:\I386\WINNT32.EXE /cmdconsDie fehlende Daten wurden von Internet Microsoft Corporation downgeloadet. Kann jetzt allerdings nicht so richtig nachvollziehen, ob der Schädling wirklich gravierenden Schaden auf meinem System anrichtet. Kann er übers Internet ???? aktiviert werden?????:( Was kann ich noch machen ? Danke für Deine Hilfe! MALICODE? :) |
Das kann echt nicht mehr sein. :mad: Ich vermute da wird bei Dir immer noch was aktiv sein, was ständig den MBR wieder befällt - laß mal bitte Combofix durchlaufen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. |
Hi, der fett formatierte Teil ist wichtig: Zitat:
Gruß, Karl |
Ach ich bin ein Honk - :o Ständig hab ich nur diesen malicious code im Fokus gehabt ohne zu sehen, daß user & kernel MBR OK ist.... Danke für den Hinweis Karl! :Boogie: |
Hallo, danke für Deine Hilfe Root24 und KarlKarl für den Hinweis. Mein System ist jetzt stabil. :huepp: Gruß MALICODE? |
Ein paar Fragen zu der mbr.exe hab ich noch. Zuerst dachte ich, die scannt wirklich nur den MBR auf Befall, aber anhand dieses Beispiels wurde ja bewiesen, daß das Tool auch noch andere Blöcke scannt. 1.) Was für ein Sektor ist das? (malicious code @ sector 0x4a85062 size 0x1c6 ! ) Kann es auch einer aus freiem Speicher sein? 2.) Wieso kann mbr.exe den nicht entfernen, wo es doch nur ein Überrest ist und das Teil auch von der mbr.exe erkannt wurde? 3.) Von welchem Schädling wurde dieser Sektor manipuliert? :confused: |
Zitat:
Zitat:
Zitat:
|
Hallo Karl, danke für Deine ausführliche Antwort. Das hört sich alles sehr schlüssig an! :daumenhoc Ich möchte erwähnen, daß ich nicht das Opfer bin, es ist also nicht meine Platte von der hier die Rede ist. ;) Wenn der Sektor mit dem schädlichen Code irgendwo im unbenutzten Speicher liegt, dann müßte der doch rein theoretisch überschrieben werden, wenn man den freien Speicherplatz der Partition z.B. mit dem Eraser wiped, oder im Zuge von Schreibaktionen auf diese Partition diesen Sektor zufällig "erwischt"... Somit wäre doch DBAN oder dd unter Linux hinfällig oder? :confused: Ich muß mich auch endlich daran gewöhnen, daß dieser Fund nichts Böses bedeutet. Am Anfang des Freds ist mir garnicht aufgefallen, daß der MBR okay ist. ;) Ich find das aber auch etwas verwirrend, denn zuerst bin ich davon ausgegangen, daß eine mbr.exe auch nur den MBR überprüft. Anscheinend überprüft es die ganze Platte?? :eek: Und die Frage nach dem Schädling von mir war blöd, geb ich zu. :D |
Einiges kann ich da auch nicht wissen, da ich mbr.exe nicht geschrieben habe und es nicht opensource ist. Einfach und schnell nachschauen in der Exe kann ich nicht, erstmal müsste ich das Programm entpacken. Da meine Zeit recht knapp ist: Ist das wirklich wichtig? Wenn ja würde ich erstmal Gmer fragen, schließlich gibt es auf seiner Homepage ein Kontaktformular Zwischen den Partitionen auf einem Laufwerk liegen oft Bereiche, die ungenutzt bleiben. Ich vermute, dass auf einen dieser Sektoren gezielt wurde, denn ansonsten wäre der Schädling davon abhängig, dass der entsprechende Sektor innerhalb des Dateisystems nicht überschrieben wird. Also nicht "unbenutzter Speicher" im Sinne von "unbenutzt innerhalb einer Partition" sondern "unbenutzt von einer Partition". Kann sein, dass es Tools gibt, die diese Bereiche überschreiben. Ich hab aber nie nach sowas gesucht, da ich keinen Grund sehe es zu brauchen. Wenn ich auf einen bestimmten Sektor eines physischen Laufwerks (also nicht eines logischen Laufwerks wie C:, D:, usw) zugreifen will, dann benutze ich den Befehl dd. Mangels Bedarf habe ich hier ebenfalls nie nach einer Windowsalternative gesucht. Wenn es darum geht, ein System vollkommen frei von allen Infektionsspuren zu haben, dann würde ich mir mehr Sorgen wegen Spuren in Dateisystem und Registry des laufenden Systems machen. Bei Backdoors ist das immer so eine Sache, aber selbst bei der meisten nicht-Backdoor-Malware wird man die nicht alle erwischen können. Der Kompromiss ist eben soweit zu gehen, dass die Malware nicht mehr aktiv gestartet im System steckt und den Rest zu ignorieren. wer mehr braucht: Alle Partitionen löschen, neu partitionieren, usw. Aber selbst dann ist nicht garantiert, dass nicht irgendwo ein Sektor auf der Festplatte von dem Partitionierungszauber unerreicht bleibt. |
Zitat:
Ich habe nur rein aus Interesse gefragt, wenn Du ne schnelle Antwort hättest geben können ok, aber wenn mich das noch richtig unter den Nägeln brennt werd ich bei GMER direkt nachfragen. Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board