|
Rootkit problem - Wie krieg ich de Dreck weg? Hi everybody! Ich habe ein fieses Rootkit nd däts gerne wegkriegen hier erstmal mein Log: Code: Logfile of Trend Micro HijackThis v2.0.2also vielen Dank für die Hilfe! |
Hallo, die atapi.sys ist eine Systemdatei, wenn die durchs das Rootkit ersetzt wurde, musst Du sie (manuell) mit einem Fremdsystem löschen und eine saubere Kopie zurückkopieren. In vielen Fällen hilft auch Combofix, aber das Tool setzen wir jetzt noch nicht ein, also los gehts: Lad Dir diese saubere atapi.sys (von meinem WinXP-Rechner) am besten direkt herunter auf c:, danach müssen wir so ran: PartedMagic 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://www.raiden.net/images/article...tedmagic40.jpg 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1 6. Benenne auf sda1 die Datei /windows/system32/drivers/atapi.sys um in atapi.bad 7. kopiere die saubere atapi.sys nach system32/drivers (da wo die atapi.bad auch ist) 8. Starte den Rechner neu und boote Windows 9. Die in Linux umbenannte Datei atapi.bad bei Virustotal.com auswerten lassen und Ergebnislink posten 10. Probier einen neuen Durchlauf mit GMER und poste das Log 11. Mach auch noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. |
Krieg ich Parted Magic auch irgendwie auf USB? Vllt Mit unetbootin? Na ja ich schau morgen weiter, googeln hilft vielleicht weiter |
Ja, gibts auch für USB-Stick, kein Problem mit Linux ;) Schau hier unter If you would like to use Parted Magic from USB, first download this file. => Downloads |
DAnke, ich probiers mal aus. [edit] Eigentlich kann ich das ganze doch auch mit meinem Ubuntu Machen!? Das tu ich jetzt einfach mal... [edit2] Wieso hat atapi.sys schon 8 Downloads? Da haben wohl andere das gleiche Problem ;-) |
Also, ich hab Ubuntu an, atapi.szs ersetyt und atapi.bad hochgeladen. Hier ist der Link f[r die Auswertung von Virustotal: http://www.virustotal.com/analisis/c6977f783657da1be6576df4037712390475d593a8a7adceb18fdb62315e5bb1-1266400281 Sry, hab bisher das falsche Tastaturlayout benützt Ich machjetzt wieder Windows an und mach die Virentests. |
Klar natürlich, mit Ubuntu geht das natürlich auch. Man braucht im Grunde nur ein Notfall- bzw. Live-System, das schreibenden Zugriff auf die Windows-Partition gewährt. Das geht dann auch mit Knoppix oder was anderem, auch die Windows-Wiederherstellungskonsole, die ist aber umständlicher wegen der Kommandozeile und deswegen hab ich hier eine Anleitung für das komfortablerere PartedMagic mal geschrieben. Und Du hast es richtig gemacht und die manipulierte atapi.sys außer Kraft gesetzt. :) Es war wie ich vermutet hab das TDSS-Rootkit. |
Also GMEr läuft jetzt schon seit 2 Stunden, hat auch ne schön lange liste mit RegKeys und Windateien. Hier ist mal der Fund bisjetzt. Seitdem GMER dok&Einst. durchsucht hat, findet es nix mehr. Jetzt ist es grade bei C:/Programme/Gemeinsame Dateien/Adobe/Help Sollten da irgendwelche private INfos drinne stehen, bitte sofortrausmachen, ich seh keine mehr. ICh lass den Scan weiterlaufen, bis C: ganz gescannt wurde, sonst bin ich den ganzen Tag beschäftigt. Auf D: sollte eigentlich nix sein. Malwarebytes muss ich doch erst runteladen und lass es danach laufen. Code: GMER 1.0.15.15281 - http://www.gmer.net |
Zitat:
|
Thx (jetzt ist gerade GMER durch) ich brauch ncoh nen ersatz von spbs, ich schau mal ob ich bei google was sicheres find. [edit] Gibt nix bei Google, brauch ich den Treiber zum Booten oder ist er unnötig oder was? Ich benenn es jetzt einfach mal um, wenn nich kann ichs ja immer noch rückgängig machen bzw. ins internet mit ubuntu Danach benutz ich mal dieses tool: http://www.trojaner-board.de/82358-t...entfernen.html Oder ist es nicht nötig, wenn wir uns schon manuell drum kümmern? hier das komplette Logfile, es nur ein eintrag hinzugekommen Code: GMER 1.0.15.15281 - http://www.gmer.net |
Das TDSS-Rootkit dürfte weg (da wir die atapi.sys unter Linux zurückkopiert hatten) - mach nochmal das bitte mit der spbs.sys. Die Datei musst Du nicht ersetzen, nur unter Ubuntu umbenennen in spbs.bad |
Hmm, da ist kein spbs Die suchfkt. von ubuntu findet sie au net... ich such mal weiter |
Also hab mal n paar andere dateien, die erwähnt werden mit virustotal gescannt usbport.sys kein ergebnis Virustotal. MD5: 791912e524cc2cc6f50b5f2b52d1eb71 ithsgt.sys trojan.generic Virustotal. MD5: b7a5fadf67136fda7e8f25303565b674 W32/Vundo.FTH Trojan.Win32.Generic.51F4B2C3 laut esafe ist die atapi.sys von dir auch infiziert Virustotal. MD5: 9f3a2f5aa6875c72bf062c712cfa2674 Win32.Rootkit pci.sys kein fund Virustotal. MD5: 387e8dedc343aa2d1efbc30580273acd [edit] bei nem Typ in einem tschechischen Forum ist spds.sys in system32/drivers/. bei mir nicht was nun? http://www.pc-help.cz/viewtopic.php?...45976&p=317295 [edit2] Ich kehr mal ins Windows zurück und warte auf meinem stuhl kauernd auf eine Antwort Oder ich lass mal malwarebytes laufen.... |
usbport.sys und pci.sys: Diese Dateien sind legitim. ithsgt.sys: Könnte zu einem Spiel gehören, ich seh da auch zB den Kopierschutztreiber von Starforce bei Dir im GMER-Log, wird fast immer von Spielen mit installiert... Hast Du vllt Fahrenheit installiert? :confused: atapi.sys: Die Datei ist sauber, dieselbe Datei (lt. Prüfsumme!) ist auch auf meinem Rechner, Du hast sie ja auch von mir und nach system32\drivers unter Linux hinkopiert ;) Zur spbs.sys: Ich vermute, die gehört auch zum Kopierschutztreiber, ich werd mal intern nachfragen, ob das jmd. bestätigen oder andere sachdienliche Hinweise geben kann ;) |
Gut geraten mit Fahrenheit :daumenhoc Auf deutsch: Irgendein Spiel hat mir den Scheiß verursacht!? dann lösch ich mal ithsgt Fahrenheit hab ich durchgezockt und der Kopierschutz bringt mir daher au nix [edit] BTW: Hab noch ein Atari Spiel, nämlich Crashday [edit2]Malwarebytes läuft jetzt seit fünf Minuten, sollte es was finden, sollte ich das dann auf jeden fall löschen oder lieber nicht, wenns es ne sytem datei sein könnte? [edit3] Das ist die Auswertung von drvsetup.exe im fahrenheit ordner http://www.virustotal.com/de/analisi...b11-1266432073 was nun? |
Zitat:
Das Spiel hat Dir sicherlich nicht das atapi-Rootkit beschert, aber die Einträge waren ja im GMER Log zu sehen. Gerade Kopierschutztreiber der Spiele nisten sich auf derartig "niedrige" Ebene ein, weil der Hersteller ja einen möglichst effektiven Kopierschutz haben will, den nicht mal eben jeder Laie aushebeln kann :blabla: Ich denke dann sind alle Dateien soweit geklärt bis auf die spbs.sys. Achso, und sptd und aln89xqi.SYS gehören zu den Daemon-Tools für virtuelle DVDROM-Laufwerke falls Du fragst ;) |
Naja gut ich glaubs ich habs verstanden. spbs.sys ist böse, aber die anderen kann gmer einfach nur nicht leiden. UNd wohin hat sich sbps verkrochen? MAlware bytes hat übrigens schon zwei sachen gefunden |
Zitat:
|
Die Tatsache das google spbs.sys nicht kennt drängt den gedanken dazu auf... Soll ich jetzt einfach mal schauen was malwarebytes so findet und dann wegmachen? Ich kann ja theoretisch ganz einfach rausfinden, ob ich noch ein Rootkit hab. Ich schließ einfach die Sicherheitslücke und wenn das Rootkit den Bootup lahmlegt, ist es ncoh da. Korrekt? [edit] Könnte es sein dass das Resident Shiel von AVG die ganzen Virenscans verlangsamt? |
1.) Lass erstmal Malwarebytes durchlaufen und poste dann das Ergebnis. 2.) Du wolltest Fahrenheit (testweise?) komplett deinstallieren. mach das mal, starte den Rechner neu und lass wieder GMER scannen. Wenn ithsgt und spbs oder nur noch die spbs.sys übrigbleibt, lässt das weitere Rückschlüsse zu. 3.) Du kannst auch mal (temporär) Daemontools deinstallieren. Dann sollte der SPTD Treiber weg sein, wenn spbs auch dazu gehört, der dann hoffentlich auch. Ich kann im Moment nämlich selbst die Datei spbs.sys nix zuordnen, will wissen was das ist. Was genau meinst Du mit Sicherehitslücke schließen? :confused: |
Zitat:
http://www.heise.de/newsticker/meldu...en-930043.html Zitat:
Malwarebytes hat schon 120000 Dateien gescannt in der letzten Stunde. ICh habe etwas sehr interessantes gefunden. ICh versuchte grade den residenten SChutz abzuschalten (es geht nicht) und hab in die history gekuckt und folgendes gefunden: Code: |
Zitat:
Zitat:
Aber achte mal aufs Datum, gestern wurde über Linux die schädliche atapi.sys mit einer sauberen überschrieben und der 16. Feb ist der letzte Eintrag, also wie ich sagte: Rootkit weg! :) |
Angenommen das rootkit hat mein avg nicht infiltriert & Avg erkennt ale rootkits. Wieso hab ich die hinweise nciht bemerkt? hab grad meine schwester gefragt, des am freitag muss sie gewesen sein. aber am donnerstag war ich am pc (hab zu dem zeitpunkt nen film gekuckt) und es sollten 3 Meldungen in 10 minuten gekommen sein. Ist mein System jetzt also sauber? (abgesehen von dem scheiß was malwarebytes findet es sind immer noch nur zwei infizierte dateien) [edit] Das log ist fertig, es sind doch 5 dateien geworden. Ich wüsste nicht, dass bei den firewall einstellungen was verändert hab, ichm uss das mal prüfen. Code: Malwarebytes' Anti-Malware 1.44[edit2] Ich hab nach geschaut. Es ist eingestellt, das ich darauf hingewiesen werde, wenn ein Programm geblockt wird. -> d.h.: disableNotify - disabled. Was ist daran jetzt "bad"? Der andere Key sagt mir nix. Ich lösch dann mal das Trojanerzeugs [edit3] jetzt reboote ich gschwind |
Ich kontrolliere immer mehrere Logfiles von verschiedenen Tools und frage immer nach dem Verhalten des Systems, dann lässt sich mE nach sehr gut abschätzen, ob die Gefahr etaiger Reste gegeben ist oder nicht. Wer sicher gehen will und/oder muss, dem bleibt nur Formatieren und anschießende Neuinstallation von Windows...oder Zurückspielen eines sauberen Images (kommt der Neuinstallation gleich) Mach bitte noch ein Log mit CF, das Tool hatte ich anfangs erwähnt, wollte es aber ganz am Anfang noch nicht einsetzen (!) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Kannst du bitte bei meinen ersten beiden logs noch bitte meinem Namen rausmachen? mir ist aufgefallen, dass ich das vergessen hab. ComboFix lässt meinen PC mich ganz laut anpiepsen... Hab ich gar nicht gern. Wieso ist denn die Systemwiederherstellungskonsole bei mir nichtinsatlliert naja egal. Also combo fix ist feritg, hier ist das log. COOL!!!!:Boogie: es hat die datei emergency room endlich gelöscht! die wahr schon monatelang bei mir auf dem Desktop! Kurz nachdem neuaufgestzt wurde hab ich aus Versehen das da downgeloadet und dann hab ich auf abbrechen gedrückt und irgendwie hats gelaggt, naja auf jjeden fall war da jetzt auf meinem desktop eine datei mit "0B" und ich hab sie nicht weggekriegt. Aber wieso es Es search settings gelöscht ha tweiß ich net, da sist doch von MS Search und eigentlich in ordnung Mir ist beim überfliegen aufgefallen, dass das da schon recht detaillierte daten sind, die nicht ganz jeder immer lesen können sollte, kannst du bitte es löschen/mir sagen dass ichs löschen soll , wenn dus durchgelesen/gespeichert hast? Code: ComboFix 10-02-16.03 - ***Computername*** 17.02.2010 21:38:48.1.1 - x86 |
Ich kann nichts editieren, bin weder Mod noch Admin :D Melde Deinen Beitrag (neben Online-Status) mit ner kleinen Beschreibung Zitat:
Ansonsten seh ich da nichts Aufälliges. Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten. |
Guten MOrgen:kaffee: Wyzo ist ein auf Firefox basierender Browser von Radical Software. Ich habe doch erst gestern ein Malwarebytes scan gemacht... na gut ,dann mach ich halt noch einen... Seitdem ich Combofix laufen hat kommt nach dem login immer ca. 1 min. lang "Computer ist evtl. nicht geschützt. Win Firewall ist deaktiviert." Früher war sie immer von anfang an aktiviert. Außerdem hab ich noch ein Problemchen ein sehr kleines problemchen Seitdem ich nicht mehr Wyzo benütze kommt bei Firefox manchmal beim Start ne Tracking cookie Warnung von resident shield. Manchmal, nicht immer direkt nach dem Booten, normalerweise nicht hintereinander, aber sehr unregelmäßig & oft ca. einmal pro tag. ich schieb den immer in quarantäne, aber der das verlangsamt den firefox start doch sehr. Aber trotzdem kann ich machen was ich will, das Teil kommt immer wieder. Wie krieg ich das weg? ein tracking cookie bringt mich nicht um, weil ich kein online banking mach und bis jetzt wurde keiner meiner accounts gehackt, bzw. haben spam verschickt. welche Add-ons oder webseiten könnten es verursachen? Habe folgende Add-ons: firegestures, java quick starter, MS .net framework assistant, search preview, skipscreen, smart bookmarks toolbar. Hab nur die default theme & folgende plugins: Adobe acrobat, Divx player netscape plugin, divx web player, facebook, google earth, google update, java platform se 6 u13, java platform se 6 u15, pdf x-change viewer, shockwave flash, shockwave for director, silverlight plugin, vlc multimedia, win presentation foundation. Hier mal ein teil vom log vom resident shield. Manchmal sind es andere tracking cookies. DAs geht schon so seit anfang november. Mir ist grad aufgefallen, wyzo hatte auch solche meldungen (die gleiche datei am gleichen ort). Aber nur einmal pro woche. Ich check mal meine browserchronik, ob ich irgendwelche bösen seiten zu der zeit besucht hab. Code: "Tracking cookie.Webtrends gefunden";"C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\vk0fcmhe.default\cookies.sqlite";"In Virenquarantäne verschoben";"17.02.2010, 21:23:18";"Datei";"D:\Programme\Mozilla Firefox\firefox.exe" |
Malwarebytes hat nix gefunden: Code: Malwarebytes' Anti-Malware 1.44 |
Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Zitat:
Um die Cokkies kümmer ich mal, aber dir ist schon aufgefallen, dass das eine .sqlite datei is (whatever this means), und nichht irgendein stinknormaler Cookie im Cookieordner? [edit] Hab mal die unnötigen Cookies gelöscht. War auch was von m.webtrends.com dabei (darüber hat sich avg grad wieder beschwert). aber kein ivwbox, auch kein doubleklick.net (das sind die fiesesten, die haben iwas mit googleads zu tun) liegt wohl an adblockplus :applaus: Ich auch die checkbox "cookies von drittanbieteern nicht erlauben" gecheckt. Das heißt ja dass nur die Seiten, die ich wirklich besuche, cookies speichern dürfen und alle andern nicht, oder? |
Zitat:
Manchmal sieht man da Hinweise. Oft aber auch nicht, aber ein Versuch ist es Wert. Zitat:
|
Zitat:
Bei der anzeige für anwendung steht nur da, dass security center gestartet wurde. Bei System steht da übrigens, dass der pc ithsgt starten wollte, aber es nicht gefunden hat. Zitat:
[edit] Also dann scheint mein pc entseucht zu sein... Vielen Dank cosinus http://www.meinelieblinge.de/images/...eilend-033.gif wenn ich mal irgendwas helfen kann, bescheid sagen :D Ansonsten komm ich wieder vorbei, wenn ich das nächste mal meinen rechner lahm leg xD Wär jetzt noch schön, wenn jemand das persönliche zeug löschen könnte, von mir aus auch den ganzen tread... |
achja *closed* -ich bräuchte hierfür nen smiley ;) |
Zitat:
|
Einschüchterungsversuche die wirken: Zitat:
|
Das ist kein Einschüchterungsversuch ;) Ich bekomm dank NoScript und Adblock quasi keine (penetrante) Werbung mehr zu Gesicht. Auch auf Webseiten, die an sich auf die Whitelist landen, sind Werbebanner und Scripte von fremden Seiten eingebettet. Du gehst zb auf xyz.de und dort wären auch Scripte aus abc.de drin, wenn ich Scripte brauch aktiviere ich dann über NoScript nur xyz.de und der Rest der aktiven Inhalte der anderen Seiten wird nicht ausgeführt ;) |
Adblockplus ist auch definitiv genial, ich sehe auch Null Werbung, ich hasse es an PCs ohne Adblocplus zu arbeiten. Ich hab Noscript installiert, aber dann wars mir zu blöd und ich habs deinstalliert. Sag mal, kann noscipt Popups/layerwerbung verhindern? Das wäre glaubich der einzige grund für mich, es nochmal zu installieren. |
Ja, NoScript kann das. Ich seh jedenfalls quasi keine Layerads mehr, die die eigentlich alle auf aktive Inhalte (JavaScript) angewiesen sind. NoScript ist am Anfang etwas nervig, weil Du ja erstmal allen "guten" und häufig besuchten Seiten das Ausführen von JS erlauben musst (idR jedenfalls laufen die Seiten nur vernünftig mit aktivem JS, musste ausprobieren) aber wenn Du es denn ne zeitlang hast, musst Du wirklich nur hin und wieder Seiten erlauben. Für die meisten Seiten benötigst Du kein JS nur um mal eben nen (statischen) Text zu lesen,.... :rolleyes: |
Wegen dem Firewall dings, ich hab grad dropbox (filehoster app) installiert und die firewall hat sich nicht über die inet verbindung beschwert, was sie aber tun sollte. sollte ich mir sorgen machen? |
Zitat:
Zum alltäglichen Gebrauch des PCs bitte immer nur eingeschränkte Rechte verwenden! |
Thank you very much |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board