|
Nach Rootkit-Entfernung (TDSS) aus atapi.sys startet der Rechner nicht (Bluescreen) Ich habe derzeit das Problem, dass mein Rechner (Windows XP Professional SP3) nicht hochfährt. Egal ob ich normal starte oder im abgesicherten Modus (egal welcher), es kommt immer folgender Bluescreen: *** STOP: 0x0000007B (0xC0000034, 0x00000000, 0x00000000) Nach meiner Recherche bedeutet die Meldung, dass irgendetwas mit der Festplatte nicht stimmt und daher nicht richtig gebootet werden kann. Eine genaue Fehlermeldung steht nicht im Bluescreen, nur allgemeine Hinweise zu möglichen Festplattenproblemen und Virenbefall. Leider weiß ich nicht, wo genau der Fehler ist. Ich habe mehrere Ansätze. Folgendes habe ich zuletzt gemacht: - Ich habe mir einen Virus eingefangen (vermutlich über ein Forum, welches ich per Google gefunden habe, leider weiß ich es nicht genau; auf jeden Fall schlug mein Virenscanner mehrfach Alarm) - Nach ein bisschen googlen habe ich dann den TDSSKiller von Kaspersky gefunden, welcher wohl genau auf meinen Virustyp passt. Dieser hat dann, im Gegensatz zu einigen anderen Tools und meinem Virenscanner (Norton Internet Security 2010), direkt ein Rootkit in der atapi.sys gefunden. Es wurde mir mitgeteilt, dass dieser Virus nach einem Reboot entfernt wird. Das war aber nicht der Fall. Ich habe es nochmal versucht, aber wieder kein Erfolg. - Dann habe ich, nach Hinweisen im Internet, von einer BartPE-CD gebootet und die atapi.sys durch exakt die gleiche Version ersetzt (insgesamt 4x, d.h. sämtliche Vorkommnisse). Die Version habe ich von meinem Notebook (auch WinXP SP3, allerdings Home statt Pro). Version und Größe waren absolut identisch. - In meinem System32\Drivers-Verzeichnis fand ich auch eine sys-Datei von Kaspersky. Ich habe mir gedacht, die brauche ich ja nicht mehr und habe diese gelöscht. Leider kenne ich den Namen nicht mehr. Google spuckt mir zwei Namen aus, "kl1.sys" und "klif.sys". Ich habe aber keine Ahnung, ob es eine davon war. - Nun habe ich den PC neugestartet und komme jetzt nur noch bis zum Bluescreen. Die Frage ist nun: Ist evtl. die fehlende Kaspersky-Datei Schuld am Bluescreen? Wurde diese als Treiber eingebunden und kann nun nicht geladen werden? Ist die atapi.sys inkompatibel oder muss diese in der Registry registriert werden? Habe ich noch einen Virus im System? Ich habe leider gar keine Idee mehr, was ich tun kann. Eine Windows-Neuinstallation will ich unbedingt vermeiden. Streng genommen ist diese Frage (vermutlich) gar keine Frage zu Viren & Co., allerdings hängt sie unmittelbar damit zusammen und ich denke, ich werde nur hier die passenden Antworten erhalten können. EDIT: Ich meine natürlich atapi.sys, nicht ansi.sys (habe editiert)! |
.sys Dateien löschen ist nie die beste Idee ;) Versuch mal eine Reparatur Installation falls die richtige CD vorhanden ist. Größe und Version sind da nicht so ausschlaggeben wie eine MD5 Nummer ;) |
Die richtige CD, also von WinXP Pro, habe ich hier, allerdings handelt es sich dabei um SP1, aktuell installiert (durch Updates) ist aber SP3. Kann das klappen? Ich weiß nicht, ob die Datei im Laufe der Zeit aktualisiert wurde. Meinst du wirklich Reparaturinstallation oder Reparaturkonsole? Zum Wiederherstellen der Datei würde ja Letzteres reichen. Bei der Installation würden aber doch sicher Dinge überschrieben, die dann einer Windows Neuinstallation gleichkommen (einer sehr unsauberen). Und sollte es doch die Kaspersky-Datei sein, so würde ich den Fehler dadurch nicht beheben. Ich habe im Internet nun die Bezeichnung "klmd.sys" im Zusammenhang mi dem TDSSKiller gefunden. Kann das die Datei sein? Wenn ja, könnte mir die Datei jemand zur Verfügung stellen? Leider legt TDSSKiller die nicht an, wenn kein Rootkit gefunden wurde. |
Ich glaube ganz einfach das deine atapi.sys im Eimer ist. Sp1 ist schon OK, musst halt nachher updaten. Und zum herstellen der atapi.sys reicht die RC nicht aus, da Du die alte sicher nicht umbenannt sondern gelöscht hast oder ;) Zu TDSS Killer gibt es viele Datein |
Zitat:
Zitat:
Auf jeden Fall danke erstmal! |
Zitat:
Ohne atapi.sys kein Booten ;) |
Ich habe nun mit einem Ressourcen-Extractor die klmd.sys aus der TDSSKiller.exe extrahieren können. Die habe ich nach C:\windows\system32\drivers kopiert. Leider gibt es immer noch den Bluescreen. Scheinbar ist das nicht das Problem. Ich habe die Datei dann auch noch nach C:\windows\system32 kopiert und mittels der Wiederherstellungskonsole von der XP-CD die atapi.sys durch die Originalversion (SP1, also alt) ersetzt (wieder 4x). Aber auch das brachte nichts. Ich kann mir daher nur erklären, dass womöglich andere Dateien die durch den Virus veränderte atapi.sys benötigen. Ansonsten habe ich ja nichts verändert. Falls keinem mehr was einfällt, muss es wohl eine Reparaturinstallation sein (die ich sehr ungern benutzen möchte). EDIT: Der 2. Fehlercode im Bluescreen ist nun übrigens anders: 0xBA4C3524 |
Sorry für den Doppelpost, aber Editieren geht ja leider nicht mehr und ich wollte die Information für die Nachwelt erhalten: Ich habe die Hoffnung noch nicht aufgegeben, eine Neuinstallation vermeiden zu können. Ich habe nämlich gerade etwas Interessantes entdeckt. Scheinbar gibt es ein Microsoft-Update, welches einen Bluescreen bei Systemstart erzeugt, wenn ein Rootkit in der atapi.sys ist oder war. Hier gibt es ein paar Infos dazu: hxxp://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1381423,00.html https://patrickwbarnes.com/blog/2010/02/microsoft-update-kb977165-triggering-widespread-bsod/ hxxp://www.heise.de/security/meldung/Sicherheits-Update-von-Microsoft-fuehrt-zu-Bluescreen-928926.html hxxp://forums.techguy.org/windows-xp/901672-windows-xp-fails-boot-up.html Es gibt noch tausend andere Seiten, die sich genau mit dem Thema beschäftigen. Dummerweise funktioniert die Lösungsmöglichkeit bei mir nicht, nämlich das Update zu deinstallieren. Der besagte Patch (KB977165) ist bei mir nämlich unter C:\windows\$hf_mig$ und nicht, wie in den Anleitungen beschrieben, im entsprechenden $NTUninstall-Ordner. Und in $hf_mig$ fehlt die Deinstallationsmöglicheit, zumindest für die Wiederherstellungskonsole. Außerdem habe ich das Update bereits am 16.02. installiert und ich habe nach dem Virenbefall den Rechner 2x erfolgreich neugestartet. Daher ist es fraglich, ob es daran liegt, auch wenn vieles darauf hindeutet. |
Hi, mit BartPE und einem RemoteReg-Editor könntest Du die Treiber im currentcontrollset prüfen, z. B ob der TDSSKiller eine temporäre atapi.sys in der Reg eingetragen hat (unter atapi), irgendwas wie "tmp21.sys". Wenn Du die gelöscht hast, dann nutzt das kopieren auf die atapi.sys nichts... Weiterhin kannst Du den gelöschten Treiber KL*.sys prüfen (gibts den etc.)... Code: ...Zu beachten ist weiterhin, der neue TDSS infiziert noch einen anderen Treiber, nicht nur die atapi.sys... chris&out |
Danke für den Tipp, den werde ich ausprobieren. Welchen anderen Treiber infiziert denn der neue TDSS noch? Der TDSSKiller hat nur die atapi.sys gefunden. |
Hi, alle möglichen, ich hatte redbook.sys und jetzt die hier: File C:\WINDOWS\system32\DRIVERS\cdrom.sys suspicious modification File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification chris |
Was mir am meisten Sorgen macht: Ich habe keinen Schimmer, wie ich mir den Virus eingefangen habe. Er kam sehr plötzlich und in genau dem Augenblick habe ich nichts angeklickt, es waren nur mehrere Programme offen. |
Zitat:
Ein Ersetzen von atapi.sys, cdrom.sys und redbook.sys half nicht. Mal sehen, ob das noch auf eine komplette Neuinstallation hinausläuft... |
Hi, back to the roots... Mach einen neuen GMER-Lauf und poste das Log... (Ich hasse das TDSS-Teil)... Wie hast Du versucht die Treiber zu kopieren...? Wenn garnichts hilft, Boot-Cd basteln, von der Booten und dann die Festplatte komplett scannen und bereinigen lassen, Treiber ersetzen ... Vorher unbedingt die Systemwiederherstellung ausschalten... Sauberen PC zum Erstellen nutzen! Dr. Web-Live-CD Lade Dir das Abbild (http://freedrweb.com/livecd) runter (jeweils die neuste Version, z. Z. ftp://ftp.drweb.com/pub/drweb/livecd/20091231042002/) und brenne es auf CD/DVD. Stelle dann im BIOS die Bootreihenfolge um (zuerst von CD booten), boote dann von der erstellten CD und starte Dr. Web Live CD (default). Lass dann alle Festplatten untersuchen... Bei Funden bitte Name und Pfad notieren, bevor du sie von Dr. Web beseitigen lässt... Weiter Anweisungen: http://www.freedrweb.com/livecd/how_it_works/ Boot-CD erstellen: Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine Warnung!])die Boot-CD erstellen (natürlich auf einem sauberen System!). Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann. Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u. gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung. Schnellanweisung für XP: Im Groben sieht das so aus; UBCD runterladen, installieren, XP-CD auf die Festplatte kopieren (Speicherplatz beachten, es muss daraus dann nochmal eine ISO-Datei erstellt werden). Erstelle auf Deinem Rechner ein Verzeichnis (C:\XPCD), kopiere dann den gesamten Inhalt der CD da rein (vorher im Explorer einschalten, dass alle versteckten Dateien etc. angezeigt und Systemdateien nicht ausgeblendet werden (damit auch alles kopiert werden kann)). Ist die gesamte XP-CD kopiert, starte UBCD4WinBuilder.exe (Normalerweise im Verzeichnis C:\ubcd4win zu finden), Copyright etc. abnicken, "Search for Windows installation Files" -> No, im darauffolgenden Fenster "Source" ->C:\XPCD, Outputpath wie Du willst oder einfach so lassen, dann entweder für das spätere Brennen eine ISO-Datei erstellen lassen (dann einen Filenamen bei "Create ISO-Image" eingeben!), oder gleich eine leere DVD rein und direkt brennen lassen. "Custom" leer lassen. Dann Build auswählen... Nochmal MS-Copyright abnicken und es geht los. Und nach ca. 0,5-1h haben wir eine Bootfertige Not-CD mit allem was man so braucht ;o)... chris |
Der Scan mit GMER läuft immer noch, dauert ewig. Hier die bisherigen Ergebnisse: Code: GMER 1.0.15.15281 - hxxp://www.gmer.netZitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board