| dummesschaf | 29.02.2012 20:08 |
TR/Sirefef.BP.1 und andere - Backup?
Hallo zusammen,
nun hat es anscheinend auch mich getroffen. Seit heute Mittag habe ich auch dieses Zero Access Rootkit wie es scheint. Zumindest behauptet AntiVir dies.
TR/Sirefef.BP.1
und ähnliche
sowie
Exp/JAVA.Vedenbi.Gen
wurden gefunden.
Im Moment läuft noch Malwarebytes Anti Malware. OTL steht auch noch aus. Da mir die Zeit drängt (bin mitten in der Klausurphase und bräuchte mein Notebook in den nächsten Tagen) hier schonmal der Thread - die fehlenden Logfiles werden noch nachgereicht.
GMER: Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit quick scan 2012-02-29 17:58:24
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6 ST9160821AS rev.3.ALC
Running: gmerkyborl0k.exe; Driver: C:\Users\xxx\AppData\Local\Temp\fwlcypoc.sys
---- System - GMER 1.0.15 ----
Code 874C8C4C ZwTraceEvent
Code 874C8C4B NtTraceEvent
---- Devices - GMER 1.0.15 ----
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-2 86E531F8
Device \Driver\atapi \Device\Ide\IdePort0 86E531F8
Device \Driver\atapi \Device\Ide\IdePort1 86E531F8
Device \Driver\atapi \Device\Ide\IdePort2 86E531F8
Device \Driver\atapi \Device\Ide\IdePort3 86E531F8
Device \Driver\atapi \Device\Ide\IdePort4 86E531F8
Device \Driver\atapi \Device\Ide\IdePort5 86E531F8
Device \Driver\msahci \Device\Ide\PciIde2Channel0 86E541F8
Device \Driver\msahci \Device\Ide\PciIde2Channel1 86E541F8
Device \Driver\msahci \Device\Ide\PciIde2Channel2 86E541F8
Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-6 86E531F8
Device \Driver\agmnf4e5 \Device\Scsi\agmnf4e51 873D91F8
Device \Driver\agmnf4e5 \Device\Scsi\agmnf4e51Port7Path0Target0Lun0 873D91F8
Device \FileSystem\Ntfs \Ntfs 86E571F8
AttachedDevice \FileSystem\Ntfs \Ntfs AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
Device \FileSystem\fastfat \Fat 865711F8
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat AsDsm.sys (Data Security Manager Driver/Windows (R) Codename Longhorn DDK provider)
---- Threads - GMER 1.0.15 ----
Thread System [4:424] 873E6540
Thread System [4:428] 873E6540
---- EOF - GMER 1.0.15 ----
MBR: Code:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, hxxp://www.gmer.net
Windows 6.1.7601 Disk: ST9160821AS rev.3.ALC -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-6
device: opened successfully
user: MBR read successfully
Disk trace:
called modules: >>UNKNOWN [0x83406000]<< >>UNKNOWN [0x8C7B8000]<< >>UNKNOWN [0x8C7A7000]<< >>UNKNOWN [0x873E5BC0]<<
1 ntkrnlpa!IofCallDriver[0x8343D52A] -> \Device\Harddisk0\DR0[0x87091030]
\Driver\Disk[0x87090F38] -> IRP_MJ_CREATE -> 0x8C7BC39F
3 [0x8C7BC59E] -> ntkrnlpa!IofCallDriver[0x8343D52A] -> [0x873A1C28]
\Driver\00000995[0x873B0DE8] -> IRP_MJ_CREATE -> 0x873E5BC0
kernel: MBR read successfully
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !
Wie kann ich weiter vorgehen? (wie gesagt, MBAM und OTL Logs kommen gleich)
Ich habe eine Sicherung des Notebooks auf einer externen HDD von vor ca. 1 Monat via Acronis True Image 2009. Kann ich diese verwenden? Wenn ja, wie? Erst Windows 7 neu installieren und dann Backup wiederherstellen? Muss ich meinen MBR vor der Windows Installation von Hand löschen? Oder einfach Win7 DVD rein - und dann neu installieren? Reparieren wird ja wohl nicht ausreichen, oder?
Leider hatte ich zum Zeitpunkt der Erstmeldung des Virus meine große externe HDD angeschlossen. Muss ich nun Angst haben, dass alle Daten dort verseucht sind? Unter anderem ist dort die Installationsdatei meines Office drauf (Downloadversion, gekauft! also legal.).
Vielen Dank schonmal für die Hilfe!
dummesschaf
EDIT:
MBAM: Code:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.01.13.04
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Andreas :: ANDREASNOTEBOOK [Administrator]
29.02.2012 18:02:17
mbam-log-2012-02-29 (20-33-20).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 539461
Laufzeit: 2 Stunde(n), 30 Minute(n), 15 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 1
C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Andreas\AppData\Local\75422588\X -> Keine Aktion durchgeführt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 20
C:\Windows\System32\backupexecalertserver.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\hpci.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\incdrec.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\wwsecsvc.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\00000001.@ (Backdoor.0Access) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000c0.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000cb.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\000000cf.@ (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Users\Andreas\AppData\Local\75422588\U\800000c0.@ (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\assembly\GAC_MSIL\Desktop.ini (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\adihdaudaddservice.dll.VIR (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\belgium_id_card_service.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\hap17v2k.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\lightscribeservice.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\svchost.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\tosrfcom.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\usbatapi2000.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\v124.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\windrvNT.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
C:\Windows\System32\venturi2.dll (Rootkit.0Access) -> Keine Aktion durchgeführt.
(Ende)
OTL Logs im Anhang | 