8. Dezember 2006

lzx32.sys erzeugt Bluescreen?

Vor vier Tagen habe ich den äußerst empfehlenswerten 103bees Search term analysis Dienst hier installiert.



Damit habe ich unter anderem herausgefunden, dass diverse Leute mit Google (Marktanteil hier 98.8%) nach Begriffen wie

lzx32.sys bluescreen
bluescreen lzx32.sys
lzx32.sys verursacht bluescreen
absturz +lzx32.sys
fehler lzx32.sys
lzx32.sys entfernen
lzx32.sys löschen
lzx32.sys probleme
kein booten wegen lzx32.sys
...

suchen. Unter "Related keywords" steht bei lzx32.sys "bluescreen" oben. Offensichtlich hat PE386 hier etwas geschlampt bei der Entwicklung.

Achja: lzx32.sys ist der Dateiname des Rustock.B-Rootkits. Es lebt in einem versteckten ADS als C:\WINDOWS\system32:lzx32.sys und gibt sich als "Win32 lzx files loader" aus. Unter HKLM\SYSTEM\CurrentControlSet\Services\pe386 wird ein versteckter Registry-Schlüssel angelegt.

Mit dem kostenlosen Sophos Anti-Rootkit lässt es sich leicht entfernen (glaube ich). Update: Stimmt gar nicht.

Rootkit verrät sich durch BSOD (Bluescreen). Dumm gelaufen :)


Update: Dank Andreas G! habe ich jetzt ein Screenshot des Bluescreens. Es ist ein klassischer "STOP: 0x0000008E". Der Bluescreen soll bei der Installation von Windows Media Player 11 auftreten?



Update:
Oh oh. Sophos Anti-Rootkit kann Rustock.B (lzx32.sys) gar nicht entfernen. Habe gerade die neue Version 1.2 getestet. Die Entfernung wird zwar angeboten, funktioniert aber nicht (wieso sagt mir das eigentlich keiner?). Hatte das Rootkit beim ersten Test nicht richtig installiert.

Der neue RootkitBuster 1.6 von Trend Micro und McAfee Rootkit Detective 1.0 Beta funktionieren teilweise. Beide finden zwar die versteckte Datei/ ADS nicht, können aber die versteckten Registry-Schlüssel löschen. Rootkit Unhooker geht auch. Code Hooks Detector->Unhook All, jetzt wird der Treiber sichtbar in Sysinternals Autoruns->löschen.

Nach dem Reboot ist das Rootkit dann nicht mehr geladen.

Die Datei kann jetzt in der Kommandozeile mit cd %SystemRoot% && echo > system32:lzx32.sys gelöscht werden (nicht vertippen dabei, sonst ist Windows futsch).


Update: lzx32.sys löschen in der Kommandozeile (für Punkt 1 und 2 muss das Rootkit vorher deaktiviert werden):

1. Normale Kommandozeile
Die Kommandozeile alias "DOS-Fenster" ruft man bei Windows 2000 / XP / Vista auf mit Start -> Ausführen -> cmd. Die Windows-Hilfe (Win-F1) hat eine ausführliche Anleitung.
Befehl eingeben: cd %SystemRoot% && echo > system32:lzx32.sys

2. Abgesicherter Modus
Beim Booten sofort nach den BIOS-Anzeigen mehrmals F8 drücken. Dann kommt ein Menü. Für die Kommandozeile auswählen "Abgesicherter Modus mit Eingabeaufforderung".
Befehl s.o.

3. Wiederherstellungskonsole (die ich im Kommentar fälschlicherweise Rettungskonsole genannt habe).
Von der Windows-Installations-CD booten. Möglicherweise geht auch eine "Recovery-CD", das weiss ich nicht.

Dann kommt ein Menü. "R" drücken.
Bei Windows 200 kommt noch ein Menü. "K" drücken.

Die Wiederherstellungskonsole ist keine normale Kommandozeile. Es werden nur die Befehle unterstützt, die mit "help" angezeigt werden.

In der Wiederherstellungskonsole gibt es kein echo, darum überschreiben wir das Rootkit mit irgendeiner Datei (in diesem Fall die Null Byte grosse IO.SYS)

Befehl eingeben:
copy \io.sys system32:lzx32.sys


Links

17 Kommentare:

Anonym hat gesagt…

ich liege dir zu füßen... endlich mal einer mit ahnung

danke

Anonym hat gesagt…

Vielen Dank - wahr sehr hilfreich.;-))))

Tomcat0815 hat gesagt…

Hallo,

hat mir echt geholfen, Dein posting.
So wie ich das verstanden habe, werden wenn das RootKit erstmal läuft, noch andere Programme installiert, die man auch entfernen muss. Weitere Infos dazu unter diesem Link zu einem Forum, leider in englisch. Unter anderem war bei mir ein MailBot installiert, der versucht, einen Mail-Server lokal laufen zu lassen um dann Spam zu verbreiten.

Gruß

Tomcat

Tomcat0815 hat gesagt…

Tja, der Link wurde leider rausgenommen. Jetzt aber:
http://www.techsupportforum.com/security-center/hijackthis-log-help/resolved-hjt-threads/131576-lzx32-exe-bsods-killer-virus.html

Gruß

Tomcat

jörg hat gesagt…

Ja, wenn die Malware erst mal auf dem Rechner ist, holt sie meist ein paar Freunde nach.

Am sichersten ist immer noch die gute alte Neuinstallation...

Hier noch mal der ganze Link:
http://www.techsupportforum.com/security-center/hijackthis-log-help/ resolved-hjt-threads/131576-lzx32-exe-bsods-killer-virus.html

Du hast "a link=" eingegeben, richtig wäre "a href=". Deswegen ist der Link nicht zu sehen.

Anonym hat gesagt…

Hmmm.. also ich hab nicht verstanden wie ich jetzt den Bluescreen umgehe...hin oder her.. blue bleibt blue.. wie soll ich da was rennen lassen wenn ich noch nicht mal auf eine brauchbare Plattform komme.. ?

Danke

jörg hat gesagt…

Wenn Windows schon beim Booten abstürzt, bleibt dir nix anderes übrig als die Rettungskonsole von der Installations-CD zu booten.

Dann mit dem Kommandozeilen-Befehl löschen.

jörg hat gesagt…

Dabei statt %SystemRoot% das Windows-Verzeichniss auf der Festplatte eingeben (C:\Windows oder so).

Hannes hat gesagt…

Hey, bin auf den Blog gestossen, weil ich das selbe Problem habe.
Nur mit dem Informatikverständnis happerts bei mir nen bisschen. Hab den RootKitBuster durchlaufen lassen und auch die besagten registry-einträge gefunden und gelöscht. Nur bei dem manuellen Löschen der Datei komme ich nicht weiter...
Ist die Kommandozeile beim booten mit der Taste f8 zu erreichen?

und dann der Befehl.. cd %SystemRoot% && echo > system32:lzx32.sys

Kenn mich mit den Befehlen kaum aus.. Könntest du bitte noch ein genaue Anleitung hierzu posten?

Wäre echt nett!

Gruß Hannes

jörg hat gesagt…

Habe jetzt noch mal eine Klarstellung gepostet.

Dabei ist mir aufgefallen, dass der Befehl in der Wiederherstellungskonsole gar nicht funktioniert... Man lernt doch nie aus ;-)

Selor hat gesagt…

Entweder bin ich zu blöd oder es funktioniert einfach nicht..

der befehl mit dem CD und Systemroot bringt irgendwie nichts... der sagt nur das die Datei nicht gefunden wurde bzw. irgendwelche Syntax zeuchs.. und eines der Programme kann ich auch nicht installieren, da nicht genug Zeit bleibt irgendwas zu machen... gibt es noch irgendwelche Tipps?

jörg hat gesagt…

"irgendwelche Syntax zeuchs"

Ah ja.

Mit der Fehlermeldung kann ich sehr viel anfangen ;-)

Hast du Methode 1, 2 oder 3 benutzt, was *genau* hast du eingegeben und was *genau* ist die Fehlermeldung?

Mario hat gesagt…

Der kostenlose Virenscanner von Antivir (Avira) hat ein eingebautes "Rootkitsuchdings". Dieses kann dieses nette Rootkit auch bei laufendem Windoofbetrieb entfernen. Hat bei mir geklappt.

Anonym hat gesagt…

Mit dem Befehl copy \io.sys system32:lzx32.sys an der Wiederherstellungskonsole unter Win2K erhalte ich beim Neustart einen STOP C0000C26 mit dem Hinweis, das der Treiber nicht geladen werden kann.
Wie kann der Verweis auf diesen Treiber gelöscht werden. Windows fährt nicht hoch, auch nicht mit Abges. Modus. Wie kann die Registry
bearbeitet werden (Kosole o.ä.), wenn Windows nicht läuft?
Gruß Bayer69

Anonym hat gesagt…

Zu meinem Beitrag: "Wie kann die Registry bearbeitet werden (Kosole o.ä.), wenn Windows nicht läuft?" mein Ergebnis:
Die Festplatte wurde parallel zu einem anderen System gehängt. Aus C:\Winnt\Repair wurde die Datei system nach C:\Winnt\system32\config kopiert. Nach Festplattenrückbau und einem Neustart war alles (!) beim alten.
Gruß Bayer69

Yuscha hat gesagt…

He super die Anleitung ich danke dir

Stefan hat gesagt…

Ich bin durch Zufall auf diesen Blog gestossen nachdem ich mir die neue Version von gmer Anti Rootkit runter geladen habe..ähm gibt es von lzx32.sys eine neue Variante? Ich hatte auch diesen Blue Screen und danach hat sich Windows XP sofort runter gefahren.Ich habe danach sämtliche Namenhafteren Anti Rootkit Tools laufen lassenum nach lzx32.sys zu suchen,die alle allerdings keine Ergebnisse brachten.