Verdacht auf Rootkits / Malware. Bitte dringend um Hilfe!
 

Hallo zusammen,

ich habe mein PC vor 2 Tage neuinstaliert, da er extrem infiziert war. Ich dachte, dass dadurch alle Schädlinge eliminiert werden. Heute habe mein PC mit gmer gescannt.

Hier der Log:
--------------------------------------------------------------------------
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-04 19:22:40
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.14 ----
SSDT F7BAC13C ZwCreateThread
SSDT F7BAC128 ZwOpenProcess
SSDT F7BAC12D ZwOpenThread
SSDT F7BAC137 ZwTerminateProcess
SSDT F7BAC132 ZwWriteVirtualMemory

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- Files - GMER 1.0.14 ----
Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- EOF - GMER 1.0.14 ----
--------------------------------------------------------------------------

Wie ist der Log zu interpretieren?
Wie soll ich vorgehen, um die Schädlinge los zu werden?

Kann mir jemand helfen? Danke!

Grüße
MALICODE?

Hallo
Du hast Dir ein Rootkit eingefangen (wahrscheinlich Sinowal), welches sich auch in den Master Boot Record (MBR) einnistet. Ein Booten von der Windows-CD in die Wiederherstellungskonsole kann das Problem beheben, wenn Du darin den Befehl fixmbr eintippst und ausführst.

Boote Windows danach ganz normal (aus der Konsole kommst Du mit exit ;) ) und mach danach Logfiles mit diesem MBR-Tool sowie DSS - Poste alle Logfiles mit Codetags umschlossen also so

Hallo Root24,

vielen Dank für deine Antwort.
Ich habe die Wiederherstellungskonsole gestartet und den Befehl fixmbr
ausgeführt, und erhielt die Meldung, dass der MBR erfolgreich geschrieben wurde.

Log mbr.exe:
-------------------------------------------------------------------------
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x4a85062 size 0x1c6 !
------------------------------------------------------------------------

DSS ist abnormal beendet, sodass kein Log erstellt wurde.
Ich habe nochmal mein PC mit gmer gescannt.

Log gmer:
-------------------------------------------------------------------------
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-05 18:19:55
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT F7BAECCC ZwCreateThread
SSDT F7BAECB8 ZwOpenProcess
SSDT F7BAECBD ZwOpenThread
SSDT F7BAECC7 ZwTerminateProcess
SSDT F7BAECC2 ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.14 ----

.text ntoskrnl.exe!_abnormal_termination + 24D 804E28A9 3 Bytes [ EC, BA, F7 ]

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

Device \FileSystem\Cdfs \Cdfs tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

---- Disk sectors - GMER 1.0.14 ----

Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a85062 size 0x1c6

---- EOF - GMER 1.0.14 ----

Hast du eine Idee, woran es liegt?

Danke, MALICODE?

Da ist irgendwas schiefgelaufen. :confused: Der Mist im MBR ist anscheinend immer noch da. Entweder der wurde wieder erneut inifziert oder fixmbr hat einfach nichts gebracht.

Kopier doch mal das MBR-Tool nach c:\ - starte dann die Konsole cmd.exe, wechsele nach C:\ (also ins Rootverzeichnis) und starte die mbr.exe so

Danach die mbr.exe ohne den Parameter "-f" ausführen, also normal starten - poste dann wieder die Ausgabe zur Überprüfung.

Mir fällt noch was ein. Falls das mit mbr.exe -f ebenfalls nicht klappt, dann mach das mit der Wiederherstellungskonsole nochmal, führe aber diese Befehle nacheinander aus:

Hallo,

vielen Dank Root24 für Deine Beitrag-Lösungen.
Ich habe sie genau durchgeführt.

Log nach Lösung 1:
Lösung 2.
Beide Befehle sind einwandfrei durchgeführt worden.
Hier Log2:
Ich muss dazu sagen, dass die Wiederherstellungskonsole nicht von der XP-CD-ROM, sondern mit dem Befehl:
gestartet habe.
Die fehlende Daten wurden von Internet Microsoft Corporation downgeloadet.

Kann jetzt allerdings nicht so richtig nachvollziehen, ob der Schädling wirklich gravierenden Schaden auf meinem System anrichtet. Kann er übers Internet ???? aktiviert werden?????:(
Was kann ich noch machen ?
Danke für Deine Hilfe! MALICODE? :)

Das kann echt nicht mehr sein. :mad:
Ich vermute da wird bei Dir immer noch was aktiv sein, was ständig den MBR wieder befällt - laß mal bitte Combofix durchlaufen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Hi,

der fett formatierte Teil ist wichtig:
Dein MBR ist ok. Die letzte Zeile ist ein Hinweis auf einen verbleibenden Überrest, der nicht aktiv ist. sector 0x4a85062 ist nicht der MBR. Dieses Überleibsel wirst Du auch mit Windowsmitteln nicht mehr entfernen können. Da würde nur helfen, die Festplatte komplett zu löschen (z.B. von Linux aus mit dd) und neu einzurichten.

Gruß, Karl

Ach ich bin ein Honk - :o
Ständig hab ich nur diesen malicious code im Fokus gehabt ohne zu sehen, daß user & kernel MBR OK ist....

Danke für den Hinweis Karl! :Boogie:

Hallo,

danke für Deine Hilfe Root24 und KarlKarl für den Hinweis.
Mein System ist jetzt stabil. :huepp:

Gruß MALICODE?

Ein paar Fragen zu der mbr.exe hab ich noch. Zuerst dachte ich, die scannt wirklich nur den MBR auf Befall, aber anhand dieses Beispiels wurde ja bewiesen, daß das Tool auch noch andere Blöcke scannt.

1.) Was für ein Sektor ist das? (malicious code @ sector 0x4a85062 size 0x1c6 ! ) Kann es auch einer aus freiem Speicher sein?
2.) Wieso kann mbr.exe den nicht entfernen, wo es doch nur ein Überrest ist und das Teil auch von der mbr.exe erkannt wurde?
3.) Von welchem Schädling wurde dieser Sektor manipuliert?

:confused:

0x4a85062 ist hexadezimal (kenntlich an "0x" am Anfang, so die Darstellung von Wertten in C/C++, manches geht mit Visiual Basic eben nicht). Dezimal ergibt das 78139490. Wenn ich mich jetzt nicht verrechnet habe ist das ein Sektor der ca. 37,26 GByte hinter dem Anfang der Festplatte liegt. Da müsste man jetzt die Einteilung deiner Platte untersuchen und zwar mit exakten Daten, nicht nur den GByte-Daten die man in der LAufwerksverwaltung von Windows ersehen kann. Ich gehe erstmal stark davon aus, dass das ein ansonsten unbenutzer Sektor ist, z.B. im Raum zwischen zwei Partitionen. Ein Sektor ist 0x200 (= 512 dezimal) Byte groß, 0x1c6 (der Windowstaschenrechner kann übrigens hexadezimal) ist der Code, der dahinterliegende Teil ist die Partitionstabelle.

Gegenfrage: Wieso sollte er diesen Sektor schreiben? Entscheidend ist der MBR, der sehr einfach zu adressieren ist, da er am Anfang liegt. Einen Sektor irgendwo auf dem Laufwerk zu schreiben unter Umgehung des Dateisystems (dort ist er nicht zu erreichen) bedeutet mehr Risiko als den allerersten Sektor zu schreiben. Da sorgen Unterschiede zwischen verschiedenen Laufwerks- und Adressierungstypen für. Versehentlich einen falschen Sektor gelesen zu haben ist harmlos (abgesehen vom falschen Ergebnis), versehentlich einen falschen Sektor zu überschreiben kann der Tod des Dateisystems mit allen Daten sein. Ich denke dass das eine Entscheidung für größte Sicherheit ist (und vielleicht kleineren Entwicklungsaufwand, Gmer arbeitet auch an anderen Sachen und hat hoffentlich auch noch Leben ohne Computer). Wer ein System frei von allen Restspuren braucht (so als ob es niemals infiziert gewesen wäre), der muss sowieso die gesamte Platte überschreiben und komplett neu einrichten.

Aller Wahrscheinlichkeit nach eine Sinoval Variante, Backdoor, Rootkit. Die Aussage einfach, weil es in mindestens 99% der Fälle der ist.

Hallo Karl,

danke für Deine ausführliche Antwort. Das hört sich alles sehr schlüssig an! :daumenhoc
Ich möchte erwähnen, daß ich nicht das Opfer bin, es ist also nicht meine Platte von der hier die Rede ist. ;)

Wenn der Sektor mit dem schädlichen Code irgendwo im unbenutzten Speicher liegt, dann müßte der doch rein theoretisch überschrieben werden, wenn man den freien Speicherplatz der Partition z.B. mit dem Eraser wiped, oder im Zuge von Schreibaktionen auf diese Partition diesen Sektor zufällig "erwischt"...
Somit wäre doch DBAN oder dd unter Linux hinfällig oder? :confused:

Ich muß mich auch endlich daran gewöhnen, daß dieser Fund nichts Böses bedeutet. Am Anfang des Freds ist mir garnicht aufgefallen, daß der MBR okay ist. ;)
Ich find das aber auch etwas verwirrend, denn zuerst bin ich davon ausgegangen, daß eine mbr.exe auch nur den MBR überprüft. Anscheinend überprüft es die ganze Platte?? :eek:

Und die Frage nach dem Schädling von mir war blöd, geb ich zu. :D

Einiges kann ich da auch nicht wissen, da ich mbr.exe nicht geschrieben habe und es nicht opensource ist. Einfach und schnell nachschauen in der Exe kann ich nicht, erstmal müsste ich das Programm entpacken. Da meine Zeit recht knapp ist: Ist das wirklich wichtig? Wenn ja würde ich erstmal Gmer fragen, schließlich gibt es auf seiner Homepage ein Kontaktformular

Zwischen den Partitionen auf einem Laufwerk liegen oft Bereiche, die ungenutzt bleiben. Ich vermute, dass auf einen dieser Sektoren gezielt wurde, denn ansonsten wäre der Schädling davon abhängig, dass der entsprechende Sektor innerhalb des Dateisystems nicht überschrieben wird. Also nicht "unbenutzter Speicher" im Sinne von "unbenutzt innerhalb einer Partition" sondern "unbenutzt von einer Partition". Kann sein, dass es Tools gibt, die diese Bereiche überschreiben. Ich hab aber nie nach sowas gesucht, da ich keinen Grund sehe es zu brauchen.

Wenn ich auf einen bestimmten Sektor eines physischen Laufwerks (also nicht eines logischen Laufwerks wie C:, D:, usw) zugreifen will, dann benutze ich den Befehl dd. Mangels Bedarf habe ich hier ebenfalls nie nach einer Windowsalternative gesucht.

Wenn es darum geht, ein System vollkommen frei von allen Infektionsspuren zu haben, dann würde ich mir mehr Sorgen wegen Spuren in Dateisystem und Registry des laufenden Systems machen. Bei Backdoors ist das immer so eine Sache, aber selbst bei der meisten nicht-Backdoor-Malware wird man die nicht alle erwischen können. Der Kompromiss ist eben soweit zu gehen, dass die Malware nicht mehr aktiv gestartet im System steckt und den Rest zu ignorieren. wer mehr braucht: Alle Partitionen löschen, neu partitionieren, usw. Aber selbst dann ist nicht garantiert, dass nicht irgendwo ein Sektor auf der Festplatte von dem Partitionierungszauber unerreicht bleibt.

Hallo, nein so wichtig ist das nicht ;)
Ich habe nur rein aus Interesse gefragt, wenn Du ne schnelle Antwort hättest geben können ok, aber wenn mich das noch richtig unter den Nägeln brennt werd ich bei GMER direkt nachfragen.

Hin und wieder hatte ich auch aus solchen Gründen bei Bekannten ein Quickerase mit DBAN gemacht. Dann ist wirklich alles weg. Auch anscheinend defekte Platten bzw. Sektoren waren nach einer DBAN-Behandlung wieder ok.

Hallo,
da ich den Verdacht habe, dass auf mein Rechner immer noch Schädlinge aktiv sind, habe ComboFix nach der Anleitung laufen lassen.
Davor habe den Rechner mit CCleaner, Ad-Aware2008, Spybot und Avira AntiVir Premium bereinigt.

Hier die Scans und Logfiles:

ComboFix:
Gmer:
mbr.exe:
Über Auswertung und Hilfe würde ich mich freuen.

Gruß
MALICODE?

Hallo

Das Combofix Log ist unvollständig. Die anderen Logs sind soweit okay, bis auf den bösartigen Sektor, der zwischen den Partitionen liegt, wie Karl schon schrieb. :rolleyes:

Hallo,

wie kann ich ein vollständiger ComboFix Log produzieren?
Was fehlt genau?

Danke!

Überprüf doch einfach mal das was Du gepostet hast mit dem Original-Logfile :rolleyes:
Lad die Combofix-Logdatei notfalls bei file-upload.net hoch und verlink es hier wenn die zu groß sein sollte.

Sorry, ich bin ein Trottel. :(

Combofix Logfile:

Danke!

Ich sehe im CF-Log nix Auffälliges. Ich schätze Dein PC ist bis auf diesem ominösen Sektor (durch GMER gefunden) soweit clean, dem Neuaufsetzen sei Dank.

Vielen Dank für die Hilfe! :Boogie:

Halli hallo.

Der Optik wegen und weil ich absolut "rein" PC mag :) würde ich den MBR über die Wiederherstellungskonsole mit fixboot neuschreiben lassen. Das müsste imho klappen.?.

Das verhindert auch, dass evtl. einige Scanner den schädlichen Code nochmal anmeckern und den User verwirren obwohl keine Gefahr von dem Code, im falschen Sektor ausgeht.

PS:

Wo wir grade dabei sind: Hat jemand eine plausible Erklärung warum der Sinowal den "falschen" Sektor erwischt hat. Bzw. den MBR und einen anderen Sektor? Mag das an falschen Partitionstabellen oder so liegen?