|
Hi, ich nochmal.... Habe mich dank myrtille mal etwas eingelesen in das neue Teil, da haben wir de facto momentan nur ein Chance: Den PC von aussen überprüfen, daher basteln wir uns (am Besten auf einem sauberen Rechner) eine Boot-CD: (Probiere aber das mit GMER noch, der wartet noch auf Feedback, ggf. mal im abgesicherten Modus probieren!) Antivir, Rescue-CD für Rechner ohne ATI-Karte (gibt sonst Probleme) http://www.avira.de/de/support/support_downloads.html Dort bitte das Rescue System sowie das update dazu runterladen. Beim Start der Anwendung leere CD in den Brenner, CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update. Von CD booten (Einstellung im BIOS vornehmen)... http://www.pcwelt.de/start/sicherhei...s/news/149200/ G Data-Rettungs-CD, Größe ca. 110 MB: http://www.gdata.de/typo3conf/ext/da....php?docID=826 Runterladen und dann auf CD brennen, von CD booten (im Bios die Bootreihenfolge umstellen, gilt auch für AVIRA).... Dann von CD booten,, kompletten Rechner (alle HDs etc.) prüfen lassen. Am besten auf einem sauberen Rechner dann noch von der Windows-CD die atapi.sys auf einen Stick kopieren und die auf dem Rechner vorhandenen damit plattmachen... chris |
Danke Chris. Windows zeigt mir schon wieder ein paar neue Updates an, werde die schnell downloaden und installieren. (~ für IE8 und .Net und Jscript 5.8 und WinXP). Werde dann Gmer nochmal im abgesicherten Modus probieren (mal sehen, wie weit er kommt). Gmer ist bei mir beim letzten Mal auch immer abgestürzt. (Antivir war beim Gmer-Scan deaktiviert, die Sygate Firewall beendet). edit: eieiei, ich konnte Windows im abgesicherten Modus nicht starten, sowohl mit als auch ohne Netzwerktreiber, er bootet dann neu und zeigt den Auswahlbildschirm an. Werde Gmer nochmal im normalen Modus probieren (ohne Antivier, Sygate und ohne Internetverbindung). Gmer zum zweiten: wieder abgestürzt, konnte aber ein log speichern: Code: GMER 1.0.15.15227 - http://www.gmer.net |
neuer Versuch mit Gmer, nur Laufwerk C:\, Antivir deaktiviert, Sygate beendet, aber mit Internetverbindung. Gmer zeigt (u.a.) an: Zitat:
|
So, Gmer-Scan von C:\ fertig. log: Code: GMER 1.0.15.15227 - http://www.gmer.net |
Zitat:
Bzw. hab jetzt auch ein Update mit der eingebauten Programmfunktion übers Internet geschafft, sollte passen denk ich. PC scannt jetzt (hab ihn mal vom Inet getrennt), lasse Funde erstmal nur protokollieren (oder hätte ich sie gleich löschen/reparieren sollen?). Morgen weiß ich das Ergebnis... Die Avira Antivir Rescue System CD hat nicht gleich funktioniert, die Initialisierung blieb bei der Meldung "Einbinden der Geräte /dev/fda" stehen. Habe schließlich nach googeln den FDC Controller deaktiviert (nicht vorhandenes Diskettenlaufwerk deaktivieren), dann gings (falls mal wieder jemand das gleiche Problem hat). Der Link zur G Data-Rettungs-CD hat bei mir leider nicht funktioniert. Gibt es da noch einen alternativen Link? Ist das eine von diesen hier: h**p://www.gdata.de/support/downloads/testversionen.html |
Hi, die atapi.sys ist weiterhin mit dem Rootkit infiziert... Die Desinfektionsversuche sind damit allesamt gescheitert... Wir müssen sie von CD aus ersetzten... Der Rootkit ist hochintelligent, hat die "ersetzten" codesegmente gesichert, versucht man die atapi.sys zu laden, dann gibt er die "original"-Teile zurück und ist daher nicht zu finden... Weiterhin wurde die Strategie des RK geändert. Versuchte er bisher nur Google-Ergebnisse zu "manipulieren", öffnet er jetzt selber werbefenster... (bringt wahrscheinlich schneller mehr Geld...)... Was sagt der Scann von aussen (dann läuft der RK nicht und sollte eigentlich erkannt werden können). Hast Du eine Windows-CD, von der wir die atapi.sys extrahiren können? Wir können leider nicht erkennen, ob die sonst noch vorhandenen atapi.sys-Dateien nicht auch schon manipuliert wurden... chris |
Hi Chris, Avira Antivir Rescue CD hat gescannt, 0 Funde, 0 verdächtige Dateien, 52 Warnungen. log (konnte ich über die konsole und eine Anleitung von h*p://forum.avira.com/wbb/index.php?page=Thread&threadID=82163 speichern, das logfile war für den cp-Befehl unter /var/log/antivirlog.txt): Code: AntiVir / Linux Version 2.1.12-228p.s.: werde mal auf den windows cds (1 support cd und 1 recovery cd) nach der atapi.sys suchen; hab hier noch nen anderen pc mit xp, notfalls könnte ich sie evtl. vom dem kopieren (nach ner virustotal-überprüfung) nochmal edit: hab ATAPI.SY_ auf der cd gefunden :-) Virustotal-Report von der in atapi.sys umbenannten Datei von der CD: Code: Datei atapi.sys empfangen 2009.11.20 09:06:35 (UTC) |
Hi, umbenennen alleine reicht nicht, sie muss ausgepackt werden... Code: expand -r atapi.sy_ c:\windows\system32\drivers\atapi.syschris Ps.: Wo auf der CD fährt die atapi.sy_ rum, damit ich mir das notieren kann (habe hier leider keine XP-CD zum nachschauen)... |
jetzt ist grad mein laptop abgestürzt, hmm, der wird doch nicht, vista lief bisher ganz stabil drauf.. die atapi.sy_ ist im Ordner \I386 muss ich den expand befehl in der dos-eingabeaufforderung eingeben? |
Hi, ja in der cmd-box (command-Line)... Da am Anfang CF die mal ersetzt hatte, denke ich es muß noch ein Tropper aktive sein, oder aber das Teil hat erstmal alle vorhanden gegen die infizierte ausgetauscht.... chris |
habe auf dem infizierten pc mehrere atapis gefunden: atapi.sy_ in C:\Windows\I386 atapi.sys in C:\Windows\$NtServicePackUninstall$, C:\Windows\ERDNT\cache, C:\Windows\I386\SP2.CAB, C:\Windows\ServicePackFiles\i386, C:\Windows\system32\drivers, C:\Windows\Driver Cache\i386\sp2.cab, C:\Windows\Driver Cache\i386\sp3.cab, C:\Windows\ServicePackFiles\i386\sp3.cab ((und decatapi.txt und vatapi.vxd)) edit: ich bekam beim expandieren ne Fehlermeldung: Zitat:
|
Hi, hast du von XP-CD gebootet und stehst Du in der CMD? Dann bitte das hier durchführen: Code: expand C:\Windows\Driver Cache\i386\sp3.cab -F:atapi.sysDie dann (wenn der Rechner SP3 hat) über die verseuchte kopieren... So, muss jetzt zu einer Telko.... chris |
danke, werd's versuchen. steh in der cmd im Verzeichnis E:\i386 hab jetzt ein wenig herumprobiert, schließlich hat Code: expand -r E:\i386\atapi.sy_ C:\Windows\system32\drivers\die atapi aus sp3.cab hat nicht mit dem Befehl funktioniert bzw. ich war mir unsicher, ob nicht alles expandiert wird, wenn ich C:\Windows\system32\drivers\ als destination/ziel angebe |
Hi, dann wäre jetzt mal ein Reboot notwendig... Trenne den Rechner erstmal vom Netz und lass von der Sygate die spoolsv.exe blockieren... Das Teil kommt übrigens über infizierte webpages und wird von einem Dropper fallen gelassen, der die spoolsv.exe zum nachladen der Rootkitkomponenten benutzt. Da das ein Windowsprozess ist, kommt der natürlich ohne Probleme durch die Firewall und das Unglück nimmt seinen Lauf... chris Ps.: Was bei mir noch ein ungutes Gefühl hervorruft ist das hier: IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8 Da hängt noch was in Betriegssystemkernel rum... |
weiß nicht genau, wo ich speziell spoolsv.exe blockieren kann werde beim neustart einfach alles blockieren. (hab spoolsv.exe unter Applikationen nicht gefunden) Dafür sind mir dort ein paar Dateien aus dem Temp-Ordner aufgefallen, die hab ich dann gesucht, und bin draufgekommen, dass der Temp-Ordner nicht angezeigt wird, obwohl ich zu Anfang mal überprüft habe, dass Systemdateien und versteckte Dateien angezeigt werden. Kann das von Combofix o.ä. geändert worden sein? Kann das Einfluss auf Scans gehabt haben, so dass potentiell infizierte Dateien gar nicht gescannt worden sind? edit: die versteckten dateien hatte ich mir bereits vorher anzeigen lassen, ich hab das gleich am anfang nach deinem hinweis nochmal überprüft: Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board