Trojaner-Board - Probleme nach Entfernung von Renos.jm

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme nach Entfernung von Renos.jm (https://www.trojaner-board.de/81003-probleme-entfernung-renos-jm.html)

Ich schau mal, ob ich irgendwo eine atapi.sys von Vista zur Hand hab. Dann können wir das ohne Vista-DVD machen.
Edit: Du kannst auch mal ne Windows-Suche nach atapi.sys anschmeißen. Poste bitte alle Funde mit kompletten Pfaden!

Edit2: habs wiedergefunden:

Lade Dir diese atapi.sys herunter direkt auf c:\

Anschließend mit dem Avenger dieses Script ausführen:

Code:

files to move:

c:\windows\system32\drivers\atapi.sys | c:\avenger\atapi.bad

c:\atapi.sys | c:\windows\system32\drivers\atapi.sys

Rest wie gehabt in o.g. Anleitung.

Zitat:

Zitat von cosinus (Beitrag 490780)

Ich schau mal, ob ich irgendwo eine atapi.sys von Vista zur Hand hab. Dann können wir das ohne Vista-DVD machen.

Ich warte mal 25 min und dann versuch ich das mal mit der Vista-Dvd .
EDIT : ich such mal.
Komisch nur eine atapi.sys und das in windows.old (?!) nicht im normalen windows.
C:\Windows.old\Windows\system32\drivers ( der letzte Zugriff war 2008 im Juli da wo ich den Pc gekauft habe/von einem Pc verkäufter der den selbst eingerichtet hat..)

Ja, such mal, einfacher und sicherer isses über die Vista-DVD

Also für ich jetzt das script aus obwohl in windows keine atapi.sys gefunden wurde? mhm ok.

WICHTIG!! Hast Du die atapi.sys von file-upload auch direkt auf c: gespeichert?!!
Wenn nicht, wird Dein System nach dem Script nicht mehr booten!!

I did :P. Aber trotzdem hat das script nicht funktioniert vielleicht weil keine atapi.sys in windows ist(suche hat nichts gefunden?)? :hier der log
Logfile of The Avenger Version 2.0, (c) by Swandog46
ht*p://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "c:\windows\system32\drivers\atapi.sys" for move operation
File move operation "c:\windows\system32\drivers\atapi.sys|c:\avenger\atapi.bad" failed!
Status: 0xc0000043 (STATUS_SHARING_VIOLATION)

Error: could not move file "c:\atapi.sys"
File move operation "c:\atapi.sys|c:\windows\system32\drivers\atapi.sys" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)

Completed script processing.

*******************

Finished! Terminate.

Du musst über die Wiederherstellungskonsole ran. Beim Verschieben der echten atapi.sys gibt es einen Access-Fehler. Du musst die DVD finden.

Zitat:

Zitat von cosinus (Beitrag 490804)

Du musst über die Wiederherstellungskonsole ran. Beim Verschieben der echten atapi.sys gibt es einen Access-Fehler. Du musst die DVD finden.

Also ist es egal das die Suche nichts findet in windows (keine atapi.sys) ok ,dann such ich mal..

Du musst bei der Suche auch einstellen, dass er alle Dateien anzeigt und die versteckten/geschützen Systemdateien mit durchsucht. Ich weiß, unter Windows ist das Suchen immer so ein krampf :mad:

Zitat:

Zitat von cosinus (Beitrag 490809)

Du musst bei der Suche auch einstellen, dass er alle Dateien anzeigt und die versteckten/geschützen Systemdateien mit durchsucht. Ich weiß, unter Windows ist das Suchen immer so ein krampf :mad:

Besonders unter Vista !.:crazy: ,wobei ich gar nicht in windows c:/ suchen kann da dann meine explorer.exe crasht

Wenn Du die Vista DVD nicht hast, könenn wir das auch mit einer Linux-Live-CD machen (PartedMagic)

Zitat:

Zitat von cosinus (Beitrag 490813)

Wenn Du die Vista DVD nicht hast, könenn wir das auch mit einer Linux-Live-CD machen (PartedMagic)

Nene Hab sie schon gefunden ,versuch das aber später muss jetzt erstmal 1-2H weg.Hab mir das mit den Befehlen ausgedruckt :party: ,brauch ich mir nichts merken

In der Wiederherstellungskonsole musst Du das anders machen: Boote von der Vista-DVD, geh in die Wiederherstellungskonsole / Eingabeaufforderung.

Führ diese 2 Befehle aus

Code:

copy c:\windows\system32\drivers\atapi.sys c:\atapi.bad

Code:

copy X:\i386\atapi.sys C:\windows\system32\drivers\atapi.sys

Wobei X: für den Buchstaben des Laufwerks mit der Vista-DVD steht. Bei Abfrage die atapi.sys überschreiben mit Ja bestätigen!
Wenn der 2. Befehl erfolgreich war, neu starten (normal Vista von Platte), achte darauf, dass der Virenscanner die Datei c:\atapi.bad in Ruhe lässt!!
Diese dann bitte bei Virustotal auswerten lassen.

das war mir schon klar :D hoffe das die Cd auch eine wiederherstellungskonsole hat..werd das gleich mal probieren
EDIT:
so hab die atapi.sys nach c:\atapi.bad kopiert das hat auch geklappt,als ich dann aber mit copy e:\i386\atapi.sys die atapi.sys nach c:\windows ...etc kopieren und die alte überschreiben wollte hat das nicht geklappt -> Pfad nicht gefunden,die atapi.sys scheint wohl da nicht gewesen zu sein?(und e war defintiv der Buchstabe des Laufwerks extra nochmal nachgeguckt..,ich lass die atapi.bad mal bei virustotal auswerten.)

Omg das ist natürlich bitter scheint wohl die Datei zu sein :) hattest recht,jetzt brauch ich nur noch einen Tip wie ich eine Clean atapi.sys(Ich habe ja eine von dir ,ich Scann die mal nur so zum Vergleich) bekomme und sie reinkopiere ^^

Code:

Datei atapi.bad empfangen 2009.12.31 13:35:47 (UTC)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 

Ergebnis: 22/40 (55%)

a-squared 4.5.0.43 2009.12.31 Rootkit.Win32.TDSS!IK 

AhnLab-V3 5.0.0.2 2009.12.31 - 

AntiVir 7.9.1.122 2009.12.31 TR/Patched.Gen 

Antiy-AVL 2.0.3.7 2009.12.31 - 

Authentium 5.2.0.5 2009.12.31 - 

Avast 4.8.1351.0 2009.12.31 Win32:Alureon-EU 

AVG 8.5.0.430 2009.12.31 - 

BitDefender 7.2 2009.12.31 - 

CAT-QuickHeal 10.00 2009.12.31 Rootkit.TDSS.y 

ClamAV 0.94.1 2009.12.31 - 

Comodo 3426 2009.12.31 - 

DrWeb 5.0.1.12222 2009.12.31 BackDoor.Tdss.1365 

eSafe 7.0.17.0 2009.12.31 - 

eTrust-Vet 35.1.7208 2009.12.31 Win32/Alureon.AQH 

F-Prot 4.5.1.85 2009.12.31 - 

F-Secure 9.0.15370.0 2009.12.31 Rootkit:W32/TDSS.gen!D 

Fortinet 4.0.14.0 2009.12.31 - 

GData 19 2009.12.31 Win32:Alureon-EU 

Ikarus T3.1.1.79.0 2009.12.31 Rootkit.Win32.TDSS 

Jiangmin 13.0.900 2009.12.31 Rootkit.TDSS.cwp 

K7AntiVirus 7.10.935 2009.12.31 - 

Kaspersky 7.0.0.125 2009.12.31 Rootkit.Win32.TDSS.y 

McAfee 5847 2009.12.30 Patched-SYSFile.a 

McAfee+Artemis 5847 2009.12.30 Patched-SYSFile.a 

McAfee-GW-Edition 6.8.5 2009.12.31 Heuristic.LooksLike.Trojan.Patched.H 

Microsoft 1.5302 2009.12.31 Virus:Win32/Alureon.F 

NOD32 4731 2009.12.31 Win32/Olmarik.RF 

Norman 6.04.03 2009.12.31 W32/tdss.drv.gen6 

nProtect 2009.1.8.0 2009.12.31 Trojan/W32.Rootkit.21560.F 

Panda 10.0.2.2 2009.12.30 - 

PCTools 7.0.3.5 2009.12.31 Backdoor.Tidserv 

Prevx 3.0 2009.12.31 Medium Risk Malware 

Rising 22.28.03.04 2009.12.31 - 

Sophos 4.49.0 2009.12.31 - 

Sunbelt 3.2.1858.2 2009.12.31 Rootkit.Win32.TDSS.y (v) 

TheHacker 6.5.0.3.123 2009.12.31 - 

TrendMicro 9.120.0.1004 2009.12.31 - 

VBA32 3.12.12.1 2009.12.31 Rootkit.Win32.TDSL 

ViRobot 2009.12.31.2118 2009.12.31 - 

VirusBuster 5.0.21.0 2009.12.30 -

Deine Atapi.sys(Ergebnis: 1/40 (2.50%)) hat nur 1 Eintrag(Heuristic.BehavesLike.Win32.Rootkit.H),meine 22 also ist es schonmal klar das meine verändert wurde ...
EDIT2: könnte ich nicht einfach deine atapi.sys nach c:\ verschieben und sie dann mit der anderen austauschen? :-o (solange die nicht auch schon infiziert wird/ist/geworden ist)-> Liegt immoment auf meinem Desktop... Danke schonmal wir haben das Problem gefunden :)

Kopier meine atapi.sys von file-upload aus der Wiederherstellungskonsole nach system32, in der Konsole ausführen:

copy c:\atapi.sys c:\windows\system32