|
Das werd ich mal noch probieren, auch wenn ich keine großen Hoffnungen mehr hab. Kannst du mir noch sagen, was es mit dem Teil au dem GMER-Log auf sich hat: C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xEC0D28BF] C:\WINDOWS\system32\drivers\hardlock.sys section is writeable [0xAA0E7400, 0x82482, 0xE8000020] C:\WINDOWS\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xAA187420] C:\WINDOWS\system32\drivers\hardlock.sys unknown last code section [0xAA187200, 0x5105, 0xE0000020] Das protectÿÿÿÿhardlockentry point kommt mir doch sehr spanisch vor - und ich kann gar kein Spanisch ... |
Einträge zu 2 Systemdateien. Die halte ich für legitim. |
Also das mit der BartPE-CD hab ich nicht hinbekommen. Muss da irgendwie SATA-Treiber einbinden, was entweder sehr kryptisch oder gar nicht im Web beschrieben ist. Habs zumindest nicht gefunden. :wtf: Aber ist das nicht unterm Strich dasselbe, als wenn ich die Platte wieder ausbaue und in 'nem exteren Gehäuse via USB an meinen Werkstatt -PC anschließe? Das hat ja schon mal nicht gefunzt. :eek: Hab grad die ominöse Datei/Verzeichnis unter Linux in ::: umbenannt. Damit kann doch Windoof nix anfangen. Fragt sich nur, ob die sich dahinter verbergenden Geister trotzdem rauskommen können? :aufsmaul: Hab ständig den Taskmanager im Blick und kann keine verdächtigen Aktivitäten feststellen. Auch auf dem Netz ist in Richtung Internet erst mal nix los. Hm, ist das Ding nun eingemauert? :glaskugel: |
Hab seit der Umbenennung gestern Abend noch mal alles durchlaufen lassen (GMER, Dr.Web, Malwarebytes, Avira, awsMBR, MBRCheck und OTL). Alles ohne Befund. Nur das ominöse Verzeichnis wurde von GMER aufgelistet: Code: C:\:::\1950017715 0 bytes- Welcher Virus/Trojaner oder was auch immer könnte das sein? - Kann es sein, dass der jetzt ruhig gestellt ist aufgrund des Verzeichnisnamens? Grüße, Troja007 |
Hab mal bisschen rumgegooglt, und zwar nach dem Dateinamen einer in dem Verzeichnis enthaltenen click.tlb: hxxp://forums.majorgeeks.com/showthread.php?p=1672737 hxxp://forums.majorgeeks.com/showthread.php?t=244613 hxxp://www.bleepingcomputer.com/forums/topic421957.html Es scheint sich um das (einmal auch gefundene) Rootkit Zero Access zu handeln. In den o.g. Fällen hatten alle eine ähnliche Verzeichnisstruktur wie bei mir. Teilweise auch mit C:\Windows\$NtUninstallKB?????$ und entsprechenden Unterordner mit vielen Ziffern und dann exakt die gleichen Dateien drin. Nur eine davon hieß immer anders, die sich bei mir wjxaiaeh nennt. Allerdings konnte die meistens gelöscht werden. Habs grad auch noch mal mit Avenger und folgenden Script probiert: Code: Folders to delete:Code: Logfile of The Avenger Version 2.0, (c) by Swandog46Ein User schrieb auch, dass er das Rootkit entfernen konnte, nachdem er sich mit der Funktionsweise von Rootkits beschäftigt hatte. Hm, wie er es aber gemacht hat stand da nicht drin. Ich befürchte außerdem, dass es sich bei mir um eine Kombination aus Rootkit und einem Versteck hinter einem unsupported reparse point handelt. Scheinbar hab ich ihn aber (jetzt wieder nach c:\::: umbenannt), so zusagen in Quarantäne schicken können. :zunge: Hast du sonst noch eine Idee zum Löschen dieses Teils? Grüße aus Troja ;-) |
Zitat:
Um das installierte Windows wieder booten zu können musst du natürlich auf AHCI wieder umstellen. |
Ich hab den Rechner jetzt erst mal wieder normal laufen und beobachte mal, ob sich noch was tut. Ich denke sämtliche Löschversuche sind sinnlos. Hab zum Thema Rootkit Zero Access diese Erklärung gefunden, da erkenn eich einiges wieder: hxxp://pxnow.prevx.com/content/blog/zeroaccess_analysis.pdf Welches Tool findet und beseitigt denn dieses Rootkit zuverlässig, wenn seine Wirkungsweise schon mindestens ein halbes Jahr bekannt ist (Erstalldatum der PDF-Datei (11.04.2011)? |
Nachdem ich mich nun so lange mit fremdem Rechnern beschäftig habe, dachte ich mir, ich scanne spaßeshalber mal meinen eigenen. Das angehängte Logfile von awsMBR hat mir dann erst mal einen leichten Schauer über den Rücken laufen lassen. :wtf: Hier die vier farblich markierten Zeilen: 01:36:12.812 Service atapi C:\WINDOWS\System32\DRIVERS\atapi.sys **LOCKED** 32 01:36:12.875 Service GMSIPCI F:\INSTALL\GMSIPCI.SYS **LOCKED** 21 01:36:18.500 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8b22ec50]<< 01:36:18.515 \Driver\atapi[0x8b2ae360] -> IRP_MJ_CREATE -> 0x8b22ec50 Nach FixMBR war alles immer noch so. Watt iss hier los? :schrei: Muss ich dafür etwas ein neues Thema aufmachen? |
Zitat:
Warum verfolgst du die Sache mit der Live-CD nicht mehr?! Wenn das nicht geht lass es sein, man kann einfach nicht jedes System per Bereinigung retten. |
Zitat:
Außerdem hab ich das Notebook grad nicht mehr. Der Besitzer muss erst mal paar Rechnungen damit schreiben. Das Rootkit wird sich doch nicht auf Papier weiterverbreiten? :lach: Der Hauptgrund für die ganzen Reinigungsversuche war nämlich, dass das installierte Handwerkerprogramm eben nicht einfach neu installiert werden kann. Da hält der Hersteller ordentlich die Hand dafür auf. :daumenrunter: |
Verdacht auf Rootkit: SYS-Dateien **LOCKED** + ntkrnlpa.exe + \Driver\atapi gelöscht und als neues Thema veröffentlicht |
Zitat:
|
Ja, aber welchen Unterschied hätte denn ein Start von einer Windows-Live-CD gemacht gegenüber dem von einem Windows-PC, an dem die Platte extern via USB angeschlossen ist? |
Achso, darauf willst du hinaus. Ich dachte du willst das von dem immer och befallen Windows aus tun. Nun, wenn die Platte mit dem infizierten Windows als externe Platte an einem anderen Rechner angeschlossen ist ist das natürlich genauso gut :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board