"RKIT/Kryptic.763904" gefunden !!

#0
30.01.2010, 21:46
...neu hier

Beiträge: 2
#1 Hallo Ihr Spezialisten,

nachdem mein PC über Port 25 Massenspammails versandt hat, mein Provider den Port dann blockiert hat, musste ich heute feststellen, dass mein Notebook tatsächlich mit o.g. Rootkit infiziert ist, genauer gesagt ist es laut Antivir Premium folgende Datei:

C:\WINDOWS\system32\drivers\szmrsm.sys

Nun bin ich ich in diesem Bereich ein ziemlicher Laie, habe aber zumindest die Anleitungen in diesem Forum bestmöglichst befolgt und zwischenzeitlich Malwarebytes geladen und scannen lassen, das gleiche auch mit combofix.

Folgendes Log habe ich bei combofix erhalten:

ComboFix 10-01-29.09 - Karin 30.01.2010 21:03:16.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.766.345 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Karin\Eigene Dateien\Downloads\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokume~1\Karin\LOKALE~1\Temp\tmp2.tmp
c:\recycler\S-1-5-21-643417845-2117468127-1069026376-500
c:\windows\system32\drivers\digt.sys
c:\windows\system32\win

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_aqmvypf


((((((((((((((((((((((( Dateien erstellt von 2009-12-28 bis 2010-01-30 ))))))))))))))))))))))))))))))
.

2010-01-30 18:59 . 2010-01-30 18:59 -------- d-----w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\Malwarebytes
2010-01-30 18:59 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-30 18:59 . 2010-01-30 18:59 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-30 18:59 . 2010-01-30 19:24 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-30 18:59 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-09 16:44 . 2010-01-09 16:44 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Avira
2010-01-09 12:04 . 2010-01-30 20:12 763904 ----a-w- c:\windows\system32\drivers\szmrsm.sys
2010-01-06 16:29 . 2010-01-06 16:29 -------- d--h--r- c:\dokumente und einstellungen\Annabelle\Anwendungsdaten\SecuROM

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-23 11:39 . 2007-08-21 13:05 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware
2010-01-12 21:39 . 2009-02-19 11:06 -------- d-----w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\HPAppData
2010-01-07 10:59 . 2010-01-07 10:59 7168 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware\lohn + gehalt\Formular\versionLoGeCommonForms.dll
2010-01-04 12:38 . 2010-01-04 12:38 7168 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware\lohn + gehalt\Formular\versionLoGeForms.dll
2010-01-03 20:24 . 2009-09-11 14:42 -------- d-----w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\HpUpdate
2009-12-29 07:32 . 2009-12-29 07:32 356648 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lexware\Elster\pro\upd_starter0900\upd_starter.exe
2009-12-28 17:26 . 2008-11-19 17:48 54344 ----a-w- c:\dokumente und einstellungen\Annabelle\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 20:06 . 2009-02-10 14:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2009-12-27 20:05 . 2007-08-17 07:31 54344 ----a-w- c:\dokumente und einstellungen\Karin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-12-27 20:05 . 2009-12-27 19:48 78167 ----a-w- c:\windows\hpqins05.dat
2009-12-27 19:52 . 2009-12-27 19:52 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2009-12-07 14:08 . 2009-09-14 09:58 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 17:14 . 2009-12-03 17:14 716800 ----a-w- c:\windows\system32\lxter20VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 69632 ----a-w- c:\windows\system32\PXTTool80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 557056 ----a-w- c:\windows\system32\zvkonline80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 4661248 ----a-w- c:\windows\system32\LxXtreme70VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 323584 ----a-w- c:\windows\system32\LxImport80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 27648 ----a-w- c:\windows\system32\LXTPSW20VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 270336 ----a-w- c:\windows\system32\LXBtr80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 217088 ----a-w- c:\windows\system32\LxBasics80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 192512 ----a-w- c:\windows\system32\LXDasi80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 135168 ----a-w- c:\windows\system32\LxMail30VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 1343488 ----a-w- c:\windows\system32\LXTool80VC8.dll
2009-12-03 17:14 . 2009-12-03 17:14 110592 ----a-w- c:\windows\system32\LxUISettings20Native.dll
2009-11-19 10:48 . 2009-11-25 16:07 872960 ----a-w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll
2009-11-19 10:48 . 2009-11-25 16:07 43008 ----a-w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-11-19 10:48 . 2009-11-25 16:07 340480 ----a-w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-11-19 10:48 . 2009-11-25 16:07 346624 ----a-w- c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-11-17 16:13 . 2009-11-17 16:13 208896 ----a-w- c:\windows\system32\LXPrnUtil10.dll
2009-11-17 16:11 . 2009-11-17 16:11 303104 ----a-w- c:\windows\system32\dnt27VC8.dll
2009-11-17 16:09 . 2009-11-17 16:09 143360 ----a-w- c:\windows\system32\dntvmc27VC8.dll
2009-11-17 16:09 . 2009-11-17 16:09 86016 ----a-w- c:\windows\system32\dntvm27VC8.dll
2009-11-11 16:27 . 2009-11-11 16:27 24 ----a-w- C:\Wins.reg
2009-11-22 13:18 . 2009-11-22 13:18 119808 ----a-w- c:\programme\mozilla firefox\components\GoogleDesktopMozilla.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2005-04-16 172032]
"VTTimer"="VTTimer.exe" [2006-08-03 53248]
"S3Trayp"="S3trayp.exe" [2006-07-11 176128]
"FuncKey"="c:\programme\Hotkey 1.0.4\FuncKey.exe" [2006-07-27 122880]
"Google Desktop Search"="c:\programme\Google\Google Desktop Search\GoogleDesktop.exe" [2009-11-22 30192]
"ArcSoft Connection Service"="c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-11-04 413696]
"HP Software Update"="c:\programme\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
"LexwareInfoService"="c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2008-11-03 339240]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"bxAutoZipOE"="c:\programme\Gemeinsame Dateien\BAxBEx\bxOE\bxOEPluginAR.exe" [2004-05-09 61952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-09-14 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-4-23 29696]
HP Digital Imaging Monitor.lnk - c:\programme\HP\Digital Imaging\bin\hpqtra08.exe [2008-3-25 214360]
phase-6 Reminder.lnk - c:\programme\phase-6\phase-6\reminder\reminder.exe [2009-7-13 1032192]
PHOTOfunSTUDIO -viewer-.lnk - c:\programme\Panasonic\PHOTOfunSTUDIO -viewer-\PhAutoRun.exe [2008-9-25 40960]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

R2 acedrv10;acedrv10;c:\windows\system32\drivers\ACEDRV10.sys [28.10.2007 16:35 583128]
R2 acehlp10;acehlp10;c:\windows\system32\drivers\acehlp10.sys [26.10.2007 14:53 250560]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [14.09.2009 10:57 194817]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [14.09.2009 10:58 108289]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [14.09.2009 10:58 434945]
R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [20.07.2007 13:49 659456]
S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\programme\Google\Google Desktop Search\GoogleDesktop.exe [21.09.2007 08:48 30192]
S3 TridVid;Video Grabber;c:\windows\system32\drivers\TridVid.sys [27.11.2008 09:12 168704]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - szmrsm

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Inhalt des "geplante Tasks" Ordners

2010-01-15 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.ebookers.de/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
FF - ProfilePath - c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\dokumente und einstellungen\Karin\Anwendungsdaten\Mozilla\Firefox\Profiles\udb3lf0w.default\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\frozen.dll

---- FIREFOX Richtlinien ----
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKCU-Run-IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
HKLM-Run-ISUSPM - c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
HKLM-Run-NBKeyScan - c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-30 21:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\szmrsm]

.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-4220535468-769628195-488753802-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{F141BB2D-9124-4741-A955-4629111825F9}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"pagikfhpcmhplnpdnogfllphglhmmcnh"=hex:61,62,64,67,6c,69,61,65,67,61,69,61,69,
69,6c,63,63,6a,65,6c,70,6e,6f,6b,70,61,6f,6f,63,67,61,61,61,69,00,00
"paihllfloebanodjbafabfldafijehpe"=hex:61,62,64,67,6c,69,61,65,67,61,69,61,69,
69,6c,63,63,6a,65,6c,70,6e,6f,6b,70,61,6f,6f,63,67,61,61,61,69,00,00

[HKEY_USERS\S-1-5-21-4220535468-769628195-488753802-1005\Software\SecuROM\License information*]
"datasecu"=hex:38,5b,70,46,61,af,9b,c0,2b,20,fe,50,df,7d,dc,13,e9,a5,aa,34,fb,
56,c2,d9,1e,c9,3f,5f,fe,b4,d4,98,36,ba,57,75,aa,aa,0a,8e,1e,24,26,33,b1,62,\
"rkeysecu"=hex:7d,b6,8c,f8,9a,f2,5c,3a,fc,93,6b,79,3d,16,51,bc
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'lsass.exe'(736)
c:\programme\Avira\AntiVir Desktop\avsda.dll

- - - - - - - > 'explorer.exe'(1916)
c:\programme\Gemeinsame Dateien\BAxBEx\bxOE\bxOEH.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
c:\windows\System32\StkASv2K.exe
c:\windows\system32\VTTimer.exe
c:\windows\system32\S3trayp.exe
c:\programme\Apoint2K\Apntex.exe
c:\windows\system32\wscntfy.exe
c:\programme\HP\Digital Imaging\bin\hpqSTE08.exe
c:\programme\HP\Digital Imaging\bin\hpqbam08.exe
c:\programme\HP\Digital Imaging\bin\hpqgpc01.exe
c:\programme\Java\jre1.6.0_07\bin\jucheck.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-30 21:18:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-01-30 20:18

Vor Suchlauf: 20 Verzeichnis(se), 77.891.883.008 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 80.704.102.400 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[Boot Loader]
Timeout=2
Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
c:\$win_nt$.~bt\BOOTSECT.DAT="Microsoft Windows XP Professional Setup"

- - End Of File - - 8B9B82484F6735488E435B0667FAA234




Wie mache ich jetzt weiter ??

Vielen Dank für Euere Hilfe
Seitenanfang Seitenende
30.01.2010, 23:35
Moderator
Avatar Swisstreasure

Beiträge: 5694
#2 Hallo und Willkommen auf Protecus.de

Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:

• alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
nichts am Rechner getan werden,
nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Gmer ist geeignet für => NT/W2K/XP/VISTA.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
• Gmer startet automatisch einen ersten Scan.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

Code

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

• Unbedingt auf "No" klicken,
anschließend über den Copy-Button das bisherige Resultat in die Zwischenablage zu kopieren.
• Füge das Log aus der Zwischenablage mit STRG + V in Deine Antwort in Deinem Thread ein.
.
• Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
• Hake an: System, Sections, IAT/EAT, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
Wichtig: "Show all" darf nicht angehakt sein!
• Starte den Scan durch Drücken des Buttons "Scan".
Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren.
Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.


Schritt 2

Rootkitscan mit RootRepeal
• Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
• Entpacke die Datei auf Deinen Desktop.
• Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
• Klicke auf den Reiter Report und dann auf den Button Scan.
• Mache einen Haken bei den folgenden Elementen und klicke Ok.
.
Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Shadow SSDT

.
• Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
• Wähle C:\ und klicke wieder Ok.
• Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
• Wenn der Suchlauf beendet ist, klicke auf Save Report.
• Speichere das Logfile als RootRepeal.txt auf dem Desktop.
• Kopiere den Inhalt hier in den Thread.



Schritt 3

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

>Doppelklick auf die OTL.exe
-->Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
>Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
>Unter Extra Registry, wähle bitte Use SafeList
>Klicke nun auf Run Scan links oben
>Wenn der Scan beendet wurde werden 2 Logfiles erstellt
>Poste die Logfiles in Code-Tags hier in den Thread.
__________
Gruss Swiss ;)
Freiwillige Spende
Seitenanfang Seitenende
01.02.2010, 14:54
...neu hier

Themenstarter

Beiträge: 2
#3 Danke Swiss, dass Du Dich mit meinem Beitrag befasst hast.

Tja, beim Scan durch gmer ist mein PC völlig abgestürzt und ließ sich auch nicht mehr hochfahren.

Also, habe ich das System jetzt doch neu aufgesetzt (nach Euerer Anleitung !).

Das System scheint jetzt sauber zu sein.

Eine Frage hätte ich allerdings noch: Die bei mir vorhandene Malware war scheinbar spezialisiert auf das Versenden von Spammails.
Kann diesselbe Malware auch Passwörter ausspähen, d.h. muss ich nun alle Passwörter (Online-Banking etc.) ändern ?

Gruss
Karin
Seitenanfang Seitenende
01.02.2010, 16:00
Moderator
Avatar Swisstreasure

Beiträge: 5694
#4 Genau mach das und zudem noch folgendes:

Nachsorge



Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Erstelle einen neuen Systemwiederherstellungspunkt

Das ist ein guter Zeitpunkt, die Systemwiederherstellung zu leeren und einen neuen sauberen Wiederherstellungspunkt zu erstellen (Anleitung für Vista-User).
• Start => Alle Programme => Zubehör => Systemprogramme => Systemwiederherstellung
• Wähle "Einen Wiederherstellungspunkt erstellen" => Weiter
• Gebe als Beschreibung z. B. "Nach_Bereinigung" ein => Erstellen => Schließen.
• Nun Start => Ausführen => cleanmgr (reinschreiben) => OK => Reiter Weitere Optionen
• Klicke unter Systemwiederherstellung auf Bereinigen und bestätige das Löschen mit Ja => OK.
Das wird alle Wiederherstellungspunkte bis auf den letzten neu erstellten löschen.

Diesen Punkt kannst Du weglassen, falls Du das System gerade neu aufgesetzt hast oder Combofix benutzt und ordentlich deinstalliert wurde, da Combofix das schon erledigt.

Massnahmen:

Um Dein System vor Malware zu schützen, gebe ich Dir im Anschluss eine Kurzversion mit Tipps und Hinweisen auf Tools, die Dir helfen werden, Dein System abzusichern und in Zukunft frei von Infektionen zu halten. Wenn Dein System infiziert war, rate ich Dir, Deine Passwörter zu ändern. Bitte betrachte die Tipps als Vorschläge und nicht als Nonplusultra ;).

Falls bei Dir noch nicht installiert, solltest Du Dir die folgenden Programme installieren. Spybot Search&Destroy ist ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten, dass der TeaTimer nicht aktiviert wird. Lasse das Tool in regelmäßige Abständen (z. B. einmal pro Woche) laufen und lasse vor der Überprüfung immer nach Updates suchen, Details siehe ausführliche Anleitung. Um Dein System frei von temporären Dateien zu halten, empfehle ich [url="http://www.CCleaner.de"]CCleaner[/url], (Toolbar nicht mitinstallieren) eine Freeware-Software zur Optimierung und zum Aufräumen von Windows, Einzelheiten siehe die Anleitung von Hijackthis-Forum.de. Bei Java (Sun) immer nur die aktuellste Version auf dem Rechner haben, alle anderen deinstallieren.

Verwende einen alternativen Browser, ich empfehle Firefox. Es gibt eine große Anzahl von Erweiterungen, wie z. B. Adblock Plus und NoScript. Mit der Erweiterung IE Tab ist sogar das Windows- und Office-Upate über Firefox möglich. Die Erweiterung QuickJava sorgt dafür, dass Du Java und Java-Skript nur bei Bedarf einschalten kannst. Eine alternatives E-Mail-Programm ist Thunderbird. Auch dafür gibt es viele sehr gute Erweiterungen.

Als Alternative für die ganzen Messenger kommen Miranda-IM oder Trillian infrage. Miranda ist ein malwarefreier OpenSource Instant-Messenger, der mit Protokollen von AOL, ICQ, IRC, MSN und Yahoo zusammen arbeitet. Mit dem ebenfalls malwarefreien Trillian kannst du mit Nutzern von ICQ, AIM, Yahoo Messenger, MSN und IRC chatten.

"Wie konnte die Malware auf meinen Rechner kommen?", ist die wohl am häufigsten gestellte Frage. Malware gelangt in erster Linie über sogenannte Browser Exploits auf einen Rechner, also über Sicherheitslücken im Browser selbst. Weitere Schleusen sind E-Mail-Anhänge, Lecks im Betriebssystem oder Dateidownloads aus unsicheren Quellen.

Durch Einsatz Deines Köpfchens und folgende simple Maßnahmen kannst Du den Schutz optimieren:

• System immer auf aktuellem Stand halten (Windows Update regelmäßig machen und Software aktualisieren).
• Programme wenn möglich "benutzerdefiniert" installieren und Toolbars und Sponsoren abwählen.
• Internet Explorer sicher konfigurieren.
• Nur Original-Software nutzen und auf Programme aus dubiosen Quellen konsequent verzichten.
• Programme, die Du nicht mehr nutzt, über Systemsteuerung => Software entfernen/deinstallieren.
• Nicht alles anklicken, wo klickmich draufsteht!
• Gesunden Menschenverstand und Vorsicht walten lassen,
• insbesondere bei Dateien, die Du Dir auf den PC holst, also E-Mails, Downloads etc.,
• am besten auf Filesharing über P2P-Programme ganz verzichten.
• Router durch Vergabe eines Kennwortes vor Änderungen von außen schützen.
• Nicht benötigte Dienste und Programme gar nicht erst starten.
Bezüglich der Dienste ist es allerdings nötig, sich damit ausführlich zu beschäftigen, ansonsten die Dienste lieber lassen, wie sie sind.
• Nicht benötigte "Ports" (am eventuell vorhandenen DSL-Router), Freigaben u. ä. schließen.
Port-Scan-Test.
WLAN absichern.
Sichere Passwörter vergeben.
• Nicht mehr als einen Virenscanner mit Hintergrundwächter installieren.
• Nicht mehr als ein Antispyware-Programm mit Hintergrundwächter ständig laufen lassen.
• Das System hin und wieder zusätzlich mit einem dieser kostenlosen Online Scanner überprüfen.
• Datensicherung nicht vergessen!
Immer eine saubere Datensicherung als zurückspielbares Image auf Lager haben.
__________
Gruss Swiss ;)
Freiwillige Spende
Seitenanfang Seitenende