Rootkit.Win32.TDSS.d
 

schönen guten tag.


der laptop meiner freundin hat sich vor kurzem das rootkit Rootkit.Win32.TDSS.d eingefangen.

diverse bereinigungsmechanismen sind bisher fehlgeschlagen.

TDSSKILL meldet eine infizierte atapi.sys.
Auch meldete Kaspersky eine infizierte kernel32.dll.

beide datein habe ich, unter nutzung der recoverykonsole, vom system enfernt und sauber von der installations-cd wieder eingespielt, leider ohne erfolg.
einzig und allein die kernel32.dll wird nicht mehr als infiziert erkannt.
auch schlug die bereinigung, durch TDSSKILL selbst, fehl.

kaspersky meldet zwar das rootkit, jedoch keinen standort.
habe diverse andere malware (fraudpack) zwar erfolgreich entfernt, jedoch nicht diesen lästigen käfer.

bin mit meinem latein so langsam am ende.
ich hätte mich für eine neuinstallation und REINIGEN der platte (durch mehrmaliges formatieren und beschreiben von 0en) entschieden, wenn meine freundin nicht unmengen von daten zu sichern hätte, jedoch keinen speicher zum ausweichen hat.

aus diesem grund brauche ich fachmännische hilfe.

anzumerken ist auch noch: ein windowsupdate ist nicht mehr möglich, die verbindung wird einfach nicht hergestellt.
auch stürzte des öfteren jeder browser ab, nachdem ein phishing-link geöffnet wurde.
ich musste somit auf einen alternativbrowser (browzar) ausweichen, um hier meinen post verfassen zu können, da es weder über firefox, noch ie möglich war.


habe aufgrund dieser tatsache auch einen eintrag in meiner hosts datei vorgenommen und durch diesen erweitert: 127.0.0.1 zxclk9abnz72.com

seit dieser änderung stürzt der browser nicht mehr ab, da die seite, nicht mehr wie gewohnt, ausgeführt wird.

das system sieht folgendermaßen aus:

Windows XP Professional SP3
Kaspersky Internet Security 10
Spyware CeaSE (erst durch das Rootkit installiert) (sowie diverse andere reste von anti-malware tools)


AVZ-Logs sind an diesem post angehangen.


ich danke schonmal für jede anteilnahme und hilfe.

liebe grüße aus sachsen

Hallo und :hallo:

Poste bitte mal ein GMER Log. Eigentlich Reicht es, bei der infizierten atapi.sys die aus der RC wiederherzustellen, aber wenns der neue TDSS ist, wird noch ein anderer Treiber infiziert. Werden wir erstmal im GMER Log sehen.

das programm stürzt leider immer und immer wieder ab

Das ist doof ;)
Dann probier sonst mal OSAM und RootRepeal

Anleitung Rootrepeal:

• Download auf Desktop, Tool starten
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.

• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.

ich habe schonmal den osam-log angehangen. rootrepeal folgt, sobald dieser fertig ist


[EDIT] beide logs angehangen

[EDIT2] mir ist ein eintrag über die datei a67wr6eo.sys aufgefallen.

wird diese datei bei jedem systemstart mitgeladen?
abgesehn davon existiert diese datei nicht in diesem ordner

Hallo und :hallo:

Bitte mit OSAM deaktivieren (siehe Anleitung zu OSAM). Poste danach ein neues Log von OSAM, lass die Dateien (falls noch vorhanden)


C:\WINDOWS\system32\drivers\RKHit.sys
C:\DOKUME~1\Stefanie\LOKALE~1\Temp\fgtdqpod.sys


bei https://www.virustotal.com auswerten - poste die Ergebnislinks.

hier die ergebnisse:

RKHit.sys
h**ps://www.virustotal.com/de/reanalisis.html?61e5bbe04457d4d15926b8e2a48d38f4015651f2a162959ee08bf1ee6f714df5-1271254559

die andere war nicht mehr vorhanden.

anbei noch der neue osam-log

Dann probier jetzt bitte nochmal GMER aus

stürzt leider noch immer ab

*hmpf* Dann probier das:

Lad Dir bitte von hier eine saubere kernel32.dll am besten direkt auf c: herunter, danach:

PartedMagic

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn oder Nero per Imagebrennfunktion unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/kernel32.dll um in kernel32.bad
7. Kopiere die saubere kernel32.dll in den Pfad hinein (/windows/system32/) (müsste eigentlich alles ganz easy über den graphischen Dateibowser in Linux gehen)
8. Starte den Rechner neu und boote Windows
9. Die in Linux umbenannte Datei (kernel32.bad in system32) bei Virustotal.com auswerten lassen und Ergebnislink posten
10. Einen neuen Durchlauf mit GMER probieren und Log posten

h**p://www.virustotal.com/de/analisis/f1940efff2511b9897a6b001e1f5ae3a5d016af98b4c8abec2999eb83f2adee3-1271255738


kernel32.dll is neu eingespielt (usb-linux), jedoch keine änderung. selbst die checksummen sind gleich


gmer lässt sich weiterhin nicht starten :P


[EDIT]hab gmer jetzt mal mit einem anderen konto gestartet, läuft erstmal. ich lass den erstmal scannen

Ok. Dann mach das gleiche nochma, aber diesmal mit der atapi.sys. Eine saubere atapi.sys findest Du hier > File-Upload.net - atapi.sys

Beachte: die atapi.sys ist in system32\drivers!

atapi.sys
https://www.virustotal.com/de/analisis/0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d-1271256272

und gmerlog is angehangen

es fällt natürlich sofort dieser eintrag ins auge:

Service C:\WINDOWS\system32\tlntsvr.exe (*** hidden *** )

Hast Du davor die "alte" atapi.sys in atapi.bad umbenannt? Sieht aus, als hättest Du die saubere Atapi.sys scannen lassen...

nein, habe die alte einfach nur in einen anderen ordner kopiert und von dort aus scannen lassen

Ok. Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) C:\tlntsvr.bad bei Virustotal auswerten lassen

nach reboot kam eine fehlermeldung, jedoch hat sich der laptop so schnell wieder neu gestartet, dass es mir nicht möglich war zu erkennen, was drin stand.

tlntsvr.bad
https://www.virustotal.com/de/analisis/e2ec0a481412166b654682c2f3d953e96e757466135cbd2d813b967edb13c721-1271257252

avanger-log is angehangen

Ok. Nur merkwürdig, denn anscheinend war der Telnet-Server aktiv aber versteckt :balla:
Hast Du schonmal nen Durchgang mit Malwarebytes gemacht? Wenn nicht mach das mal bitte (Vollscan und aktuelle Signaturen!)

das wird jetzt sicher ne weile dauern.

jedoch is mir aufgefallen dass osam ständig einen eintrag (der sich laufend ändert) anzeigt, mitdem hinweis: rootkit-activity.

is jedesmal ein anderer name und wird vom normalen system nicht angezeigt. auch ein scan durch virustotal.com ergab keinen hinweis auf einen schädling (jedoch verhält sich das teil genau so - siehe ständig ändernder name usw)

[EDIT]

suchlauf ist nun beendet. log ist beigefügt

Meinst Du das Teil in OSAM:

Das ist von den Daemon-Tools, bei jedem Start hat der virtuelle Controller für die virtuellen optischen Laufwerke einen anderen Namen ;)

Hast die Funde mit Malwarebytes denn auch gelöscht?

jepp, habe ich. nach einem neustart und erneutem scan war zwar nichts mehr zu finden, jedoch meckert mir der tdsskiller noch immer wegen der atapi.sys rum.

windowsupdate lässt sich weiterhin nicht benutzen

[EDIT]

kaspersky meldet sich gerade wieder wegen dem rootkit. also doch noch nicht vorbei

Ok, dann mach mal nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

werde das später durchführen. muss jetzt erstmal weg. ich danke trotzdem schonmal für deine hilfe und werde hier (nach dem scan) einfach einen edit machen.

bis dann

so, hier der log von combofix.

konnte den letzten beitrag nicht editieren, deswegen musste ich das nun als neuen post schreiben

Ok. Probier mal ob das Windows-Update jetzt geht, wenn nciht muss ich weiter in die trickkiste greifen ;)

geht leider immer noch nicht.

das updateprogramm startet zwar, aber beim runterladen bricht es ohne fehlermeldung ab.

über den ie bekomme ich keine verbindung: Die Webseite kann nicht angezeigt werden. (seltsamerweise komme ich mit browzar auf diese seite, kann damit jedoch die updates nicht herunterladen.

auch mit firefox und eingebettetem ie-tab plugin funktioniert es nicht

okay, kaspersky meldet sich wieder zurück, findet immer noch das rootkit.

ich glaube ich bin bald an dem punkt dass ich das system komplett neu aufspiele, wenn sich das nicht lösen lässt :P

Poste bitte mal das Kaspersky-Logfile.

da haben wir doch das nächste problem: kann den log so oft anschalten wie ich will, beim erneuten öffnen des fensters ist das wieder deaktiviert (genauso wie keine der funde eingetragen werden. kaspersky bleibt dauerhaft grün)

mittlerweile schleust es weitere trojaner und viren ein.

wenn sich bis morgen keine effektive lösung gefunden hat, werd ich wohl oder übel den weg der totalen plattenvernichtung und anschliessendem neuinstallieren gehen.

wär schade drum, aber das schont sicher die nerven :D