RKIT/Agent.oxr <-- was tun

#31 mbr habe ich ausgeführt finde auf c:/ aber keinen Log.
mbr hat nichts gefunden außer:
BIOS signateure not found

Halt da isser doch:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found

#32 Kannst du mbr.exe noch mal löschen, wieder laden und einfach mit doppelklick ausführen?

#33 Habe ich gemacht. Das Programm blitzt einmal kurz auf und schließt sich dann wieder. Nichts geschiet.

#34 evtl. wird auf c: wieder ein log erstellt. hast du ne normale windows cd oder ne recovery?

#35 Ist ein TARGA Komplett PC mit Recovery CD.
Immerhin geht der Antivir Updater wieder und auch der Guard startet beim Neustart automatisch.

#36 hast du mal geschaut, ob ein Log erstellt worden ist? nutzt du Avira 8 oder 9

#37 Hallo,
also es wurde kein Log erstellt und ich nutze Antivir Version 9.0.0.407

#38 Konfiguriere Avira wie folgt:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html
Instalation weg lassen und Premium auch. danach update Avira, dann öffnen, lokaler Schutz und lokale Laufwerke, Funde in Quarantäne und Log posten.
Danach erneut öffnen, lokaler Schutz und Rootkitsuche. Meldung am ende mit Nein anklicken und auch dieses Log posten.
edit. lade mbr.exe noch einmal diesmal direkt auf den Desktop in einen eigenen Ordner, führe noch mal aus, es sollte nun auch ein logfile geben.

#39 Hier schonmal der mbr Log. Geändert hat sich nicht viel:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
BIOS signateure not found

AntiVir läuft drüber. Aber irgendwie bleibt das Prog beim durchsuchen der Registry hängen. Seit Minuten durchsucht es den Bootsektor P:/. Nichts geschiet.

#40 Hallo, wenn das weiterhin so ist, brich den scan ab, gehe dann auf konfiguration scanner suche und stelle das durchsuchen von boot und masterbootsektoren ab, starte dann erneut den scan

#41 Der Scan mit Rootkitsuche klappte:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 28. August 2009 22:13

Es wird nach 1668725 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 2) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Kevin
Computername : SUERLÄNNER2007

Versionsinformationen:
BUILD.DAT : 9.0.0.407 17961 Bytes 29.07.2009 10:29:00
AVSCAN.EXE : 9.0.3.7 466689 Bytes 05.08.2009 19:30:12
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 10:29:38
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24.06.2009 19:48:35
ANTIVIR2.VDF : 7.1.5.146 3087360 Bytes 21.08.2009 19:40:55
ANTIVIR3.VDF : 7.1.5.179 236544 Bytes 28.08.2009 19:34:09
Engineversion : 8.2.1.7
AEVDF.DLL : 8.1.1.1 106868 Bytes 30.04.2009 13:33:10
AESCRIPT.DLL : 8.1.2.26 463227 Bytes 26.08.2009 19:33:57
AESCN.DLL : 8.1.2.4 127348 Bytes 22.07.2009 19:27:19
AERDL.DLL : 8.1.2.4 430452 Bytes 14.07.2009 19:32:49
AEPACK.DLL : 8.1.3.18 401783 Bytes 27.05.2009 19:18:57
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17.06.2009 19:22:28
AEHEUR.DLL : 8.1.0.155 1921400 Bytes 18.08.2009 19:32:26
AEHELP.DLL : 8.1.6.0 233846 Bytes 18.08.2009 19:32:05
AEGEN.DLL : 8.1.1.59 356725 Bytes 26.08.2009 19:33:56
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 09:49:36
AECORE.DLL : 8.1.7.6 184694 Bytes 22.07.2009 19:27:17
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 09:49:34
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.0.1 43777 Bytes 03.12.2008 10:39:55
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 09.06.2009 19:23:59
RCTEXT.DLL : 9.0.37.0 87809 Bytes 17.04.2009 09:13:12

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Suche nach Rootkits
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\rootkit.avp
Protokollierung.......................: hoch
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Durchsuche aktive Programme...........: aus
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Abweichende Archivtypen...............: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Erweiterte Sucheinstellungen..........: 0x00300922

Beginn des Suchlaufs: Freitag, 28. August 2009 22:13

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\modules
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\start
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\type
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\imagepath
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys\group
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\uac
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32\cd042efbbd7f7af1647644e76e06692b
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32\bca643cdc5c2726b20d2ecedcc62c59b
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32\2c81e34222e8052573023a60d06dd016
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32\2582ae41fb52324423be06337561aa48
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32\caaeda5fd7a9ed7697d9686d4b818472
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32\a4a1bcf2cc2b8bc3716b74b2b4522f5d
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32\4d370831d2c43cd13623e232fed27b7b
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32\1d68fe701cdea33e477eb204b76f993d
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32\1fac81b91d8e3c5aa4b0a51804d844a3
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32\f5f62a6129303efb32fbe080bb27835b
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32\fd4e2e1a3940b94dceb5a6a021f2e3c6
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\threadingmodel
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32\8a8aec57dd6508a385616fbc86791ec2
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System\oodefrag11.00.00.01workstation
[INFO] Der Registrierungseintrag ist nicht sichtbar.
HKEY_USERS\S-1-5-21-2304334248-2844320727-2284384132-1005\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C6500930-2FBA-77DB-71E1-BC1C9DD3772D}\paknjpgmpgcjaahcecmhibaiekienbjj
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '278168' Objekte überprüft, '37' versteckte Objekte wurden gefunden.


Ende des Suchlaufs: Freitag, 28. August 2009 22:13
Benötigte Zeit: 00:33 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
278168 Objekte wurden beim Rootkitscan durchsucht
37 Versteckte Objekte wurden gefunden

#42 was ist mit dem scan nach vieren?

#43 Kreiere auf dein Desktop eine neuen Ordner mit namen z.b Sysprot
Download Sysprot.exe dahin
Entpacke SysProt AntiRootkit
Schliesse alle Fenster und starte SysProt.exe
Klicke auf den Reiter Log und setze ein Häkchen in:

* Process
* Kernel Modules
* SSDT
* Kernel Hooks
* Hidden Files

Ganz unten Hidden Objects Only anhaaken

Klicke jetzt Create Log
Am Ende erscheint ein Logfile (C:\SysProtLog.txt) poste dessen Inhalt hier im Thread


__________
MfG Argus

#44 Müssen auch die Drives und Folders druchsucht werden? Habe einfach auf Ok gedrückt und dieser Log entstand:

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

No Hidden Processes found

******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \systemroot\system32\drivers\UACkinjuhkqkx.sys
Service Name: UACd.sys
Module Base: ---
Module End: ---
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys
Service Name: ---
Module Base: AABC9000
Module End: AABE1000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: F79E5000
Module End: F79E7000
Hidden: Yes

Module Name: \??\C:\DOKUME~1\Kevin\LOKALE~1\Temp\mbr.sys
Service Name: mbr
Module Base: A77DA000
Module End: A77DD000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No SSDT Hooks found

******************************************************************************************
******************************************************************************************
Kernel Hooks:
Hooked Function: ZwFlushInstructionCache
At Address: 8057797A
Jump To: 86104F9C
Module Name: _unknown_

Hooked Function: ZwEnumerateKey
At Address: 8056EE68
Jump To: 86105714
Module Name: _unknown_

Hooked Function: IofCompleteRequest
At Address: 804E3BF6
Jump To: 86105D73
Module Name: _unknown_

Hooked Function: IofCallDriver
At Address: 804E37C5
Jump To: 86105A43
Module Name: _unknown_

******************************************************************************************
******************************************************************************************
No hidden files/folders found

#45 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Drivers to disable:
UACd.sys
UACkinjuhkqkx.sys

Drivers to delete:
UACd.sys
UACkinjuhkqkx.sys

Files to delete:
C:\WINDOWS\system32\drivers\UACkinjuhkqkx.sys

Registry keys to delete:
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\UACd.sys
HKEY_LOCAL_MACHINE\System\ControlSet002\Services\UACd.sys
HKEY_LOCAL_MACHINE\Software\uac

- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
__________
MfG Argus