|
Hi, dürfte keinen Einfluss haben. Meines Wissens verbiegt CF da nichts... Plätte mal noch alle versteckten Dateien. Nach dem booten ohne Netz von Festplatte gleich mal die Scanner auf die Reise schicken. chris |
Zitat:
|
Hi, nicht die versteckten, die temporären (ich werde langsam -äh- alt).. C.\windows\temp, c:\dokumente einstellungen\user\lokale einstellungen\temp, das für den Admin nicht vergessen... Hast Du die falsche atapi.sys schon "übergebügelt"? chris |
achso, jep, hab ich eh gemacht, jetzt beim neustart waren wieder welche da, hab ich wieder gelöscht. die atapi.sys hab ich schon länger expandiert s.o., soll ich nochmal? Zitat:
|
Hi, wenn Windows läuft, dürfte das nicht funktionieren... Jetzt bitte noch mal Gmer drüberjagen, mal sehen was der noch so ausgibt (oder ob er wieder das zeitliche Segnet)... chris Ps.: Bin jetzt ca. 2 h weg... |
Gmer gestartet, aber Antivir und Firewall vergessen auszuschalten, unvollständiges log bis dahin: Code: GMER 1.0.15.15227 - http://www.gmer.net |
soll ich die atapi.sys dann nochmal ersetzen? (habs mit cmd unter windows gemacht gehabt) Wenn ja, wie? Gmer ist noch nicht fertig, log folgt dann (scheint aber im wesentlichen das vorausgegangene zu sein). Gmer immer noch nicht fertig, ich muss jetzt leider weg und poste das log dann heute abend. |
Hi, bis jetzt sieht das noch gut aus, was Gmer anzeigt... (Das war bisher auch mein längster Thread, ein MT -> MonsterThread)... Der Rootkit ist unglaublich schlau gemacht, der richtet sich auf dem Rechner ein eigenes, verschlüsseltes Filessystem ein..... Arrrghhh.... chris |
is auch etwas nervenauf- und v.a. sehr zeitraubend, hätte eigentlich schon genug Probleme... danke jedenfalls fürs durchhaltevermögen! hier das Gmer log (Scan nur auf C:\, ohne Internet, Virenscanner, Sygate) Code: GMER 1.0.15.15227 - http://www.gmer.net |
Hi, wenn möglich kill noch die folgenden Files, die sind nicht ganz koscher... Code: C:\Dateien\***\Webseiten\***\Kopie von neu 27102009\Dateien\Artikel,-Maerchenhafte-Geschichten-und-schoene-alte-Volkslieder-_arid,1228169_regid,1_puid,2_pageid,4492-Dateien\puid1_pageid6_regid10_backlinkaHR0cDovL3d3dy5hdWdzYnVyZ2VyLWFsbG\ET_MME~1.JS 3397 bytesGMER sieht immer noch gut aus, ich denke wir haben dem Rootkit jetzt hoffentlich (endgültig) den Garaus gemacht... chris |
Virustotal Ergebnis von der aktuellen C:\Windows\system32\drivers\atapi.sys (1 Fund) Code: Datei atapi.sys empfangen 2009.11.20 18:59:26 (UTC)edit: zu den Dateien, war ein Webseitenartikel, den ich gespeichert hatte, habe ich eigentlich auch noch in nem anderen Ordner gespeichert. Den genannten hab ich gelöscht. Seltsam, dass er beim anderen nicht gemeckert hat. |
habe die atapi.sys von der recovery-cd jetzt aufm laptop expandiert (nicht in den drivers ordner) und bei virustotal.com hochgeladen, Ergebnis: 1 Fund/Verdacht, aber anders als vorherige Code: Datei atapi.sys empfangen 2009.11.20 19:17:20 (UTC) |
Hi, das halte ich für einen Fehlalarm... Habe allerdings keine gleiche Version hier um das zu prüfen, von meinem sauberen Rechner aus meldet eSave ein Rootkit... Es ist unwahrscheinlich das die CD infiziert ist... und ein aktiver Rootkit verseucht den Treiber in dem system32/drivers-Verzeichnis... Beobachte den Rechner wie er sich verhält... chris |
Habe heute Vormittag nochmal MAM drüberlaufen lassen, 5 Funde: Code: Malwarebytes' Anti-Malware 1.41(Wie) soll ich die atapi.sys ggf. nochmal ersetzen? (Vista-Laptop war grad im Ruhezustand, hab ihn wieder hochgefahren und konnte dann zunächst im FF das Forum gar nicht aufrufen. ZoneAlarm (aufm Laptop) meldete mir, dass FF versuche, als Server zu agieren (hat eine eingehende Verbindungsanforderung erhalten, Quell-IP: 0.0.0.0:60302), hoffe, das ist nicht ungewöhnlich) |
Habe inzwischen auch Antivir nochmal laufen lassen, 1 Fund: TR/Spy.68096.3 Code: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board