Rootkit? (Bisher nur gmer-Log)

#1 Hallo,
ich habe diese Frage schon im Trojaner-Board gestellt, aber dort antwortet mir leider niemand. Hier meine Frage:

Zitat

Hallo,
ich fürchte, ich habe mir einen Rootkit eingefangen. Blacklight hat zwar nichts ergeben, gmer aber schon! Ich konnte GMER auch nur im normalen Modus ausführen, im abgesicherten Modus läuft GMER nur ein paar Sekunden und XPSP3 wird neu gebootet. Wahscheinlich muss ich ja nun XP neu aufsetzen, oder ist da noch was zu machen? Wenn nein, würde ich gerne wissen, welche Dateitypen ich noch sichern kann, und ob ich insbesondere meine Mails (Thunderbird) noch retten kann.
Kann mir dabei jemand helfen?

#2 Du solltest dich in Geduld ueben. Wartezeiten von 48 Stunden musst du schon in Kauf nehmen. Foren leben von freiwilligen Helfern, die ihr Geld mit anderen Dingen verdienen muessen.....

'Arbeite bite die restlichen Punkte von hier ab
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Danke, ich werde die Punkte abarbeiten. Malwarebytes-Scan läuft. Bekomme ich das Log nach der Reinigung bzw. Neustart?

#4 Malwarebytes-Quickscan findet nichts:

Zitat

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3704
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

08.02.2010 11:29:27
mbam-log-2010-02-08 (11-29-27).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118499
Laufzeit: 4 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bei HiJackthis kommt eine Fehlermeldung. Ich poste mal das Fenster. Bisher hab ich weder "ja" noch "nein" angeklickt.

#5 Hab bei der Fehlermeldung zuerst "ja" geklickt, aber da kam eine Fehlermeldung, dass der PC offline ist. Danach hab ich "nein" angeklickt, und es wurde gescannt. Hier das Log-File dazu:

Zitat

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 11:54:09, on 08.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
H:\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
H:\Cisco Systems\cvpnd.exe
C:\WINXP\system32\RunDLL32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\svchost.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O1 - Hosts: rem 127.0.0.1 www.adobe.com
O1 - Hosts: rem 127.0.0.1 community.adobe.com
O1 - Hosts: rem 127.0.0.1 help.adobe.com
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - F:\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINXP\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1245674536751
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINXP\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINXP\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - H:\Dassault Systemes\B14\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - H:\Cisco Systems\cvpnd.exe
O23 - Service: Digital Music Software: Audio Transcoder update permissions manager. 1543. - Unknown owner - C:\Programme\AudioTranscoder\updtr.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 6955 bytes

Und hier noch die Uninstall-Liste:

Zitat

7-Zip 4.65
Adobe Flash Player 10 ActiveX
Adobe Flash Player 10 Plugin
Adobe SVG Viewer 3.0
ARTEC
CCleaner (remove only)
Cisco Systems VPN Client 5.0.06.0110
DAEMON Tools Toolbar
Dassault Systemes Software B07
Dassault Systemes Software B14
DivX Codec
DivX Converter
DivX Player
DivX Plus DirectShow Filters
DivX Plus Web Player
DVD Shrink 3.2
ElsterFormular 11.0.0
Foxit PDF IFilter
Foxit Reader
HiJackThis
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix für Windows XP (KB976098-v2)
Intel A/V Codecs V2.0
IrfanView (remove only)
JDownloader
KigoVideoConverter 1.0.0
Lame ACM MP3 Codec
Lion 3.0.3
Malwarebytes' Anti-Malware
MediaCoder 0.7.2.4582
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Security Update (KB953297)
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Motherboard Monitor 5
Motherboard Monitor 5 Languages
Mozilla Firefox (3.6)
Mozilla Thunderbird (3.0.1)
MSXML 4.0 SP2 (KB973688)
Nero 6 Ultra Edition
NVIDIA Drivers
NvMixer
Orbit Downloader
PanPlot 11.04
Paragon Partition Manager™ 10.0 Professional
Passware Kit Forensic 9.0
Phase 5 HTML-Editor
Putzi 4 Win 1.6.006
Real Alternative 2.0.0
REALTEK GbE & FE Ethernet PCI NIC Driver
SDP Downloader
SedLog 2.1.4
Sicherheitsupdate für Windows Internet Explorer 7 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB969897)
Sicherheitsupdate für Windows Internet Explorer 8 (KB971961)
Sicherheitsupdate für Windows Internet Explorer 8 (KB972260)
Sicherheitsupdate für Windows Internet Explorer 8 (KB974455)
Sicherheitsupdate für Windows Internet Explorer 8 (KB976325)
Sicherheitsupdate für Windows Internet Explorer 8 (KB978207)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB969947)
Sicherheitsupdate für Windows XP (KB970430)
Sicherheitsupdate für Windows XP (KB972270)
Sicherheitsupdate für Windows XP (KB973904)
Sicherheitsupdate für Windows XP (KB974318)
Sicherheitsupdate für Windows XP (KB974392)
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Update für Windows Internet Explorer 8 (KB971180)
Update für Windows Internet Explorer 8 (KB976749)
Update für Windows XP (KB955759)
Update für Windows XP (KB971737)
Update für Windows XP (KB973687)
Usb to Serial Driver 1.12.25
VC80CRTRedist - 8.0.50727.4053
VLC media player 1.0.3
Windows Internet Explorer 8
Windows Media Player Firefox Plugin
WinRAR archiver
WinZip 12.0
YV12 QuickTime Codec

Zitat

#6 Deinstalliere mal den die DAEMON Tools Toolbar und dann den spdt Treiber, mache einen neustart und erstelle einen neuen Gmer report.
Einfach DAtei starten und uninstall waehlen...
http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
__________
MfG Ralf
SEO-Spam Hunter

#7 Bitte schön:

#8 Du musst noch den sptd Treiber mit oben verlinkter Software entfernen! Ein Rootkitscan mit Antivir waere auch nicht schlecht.

Nutze bitte auch noch Avenger. DOwnloade es von hier http://swandog46.geekstogo.com/avenger.zip entpacke und starte es, hake "automativaly disable all found Rootkits" und druecke execute. Nach einem neustart sollte ein Report erstellt werden. Poste diesen auch.
__________
MfG Ralf
SEO-Spam Hunter

#9 Der PC lässt sich nicht mehr hochfahren (bootet immer wieder neu). Ich wollte, nachdem ich gmer laufen gelassen hatte, den PC runterfahren. Als er nach ca. 5-10 min. immer noch nicht runtergefahren war, hab ich ihn einfach von Hand abgeschaltet.
Als ich den PC jetzt wieder hochfahren wollte, kam zunächst eine Fehlermeldung das irgendeine dll beschädigt wäre, und dass man mit der original XP-CD booten solle und dann "R" für Reparatur drücken solle. Soweit bin ich aber nicht gekommen, denn irgendwann kommt ein Bluescreen mit diesem Fehlercode:
*** STOP: 0x0000007E (0xC0000005, 0x8089C09D, 0xF89815FC, 0xF89812F8)
Ohne XP-CD bootet der PC ständig neu. Egal ob normaler oder abgesicherter Modus. Am weitesten kommt man noch mit "letzte funktionierende Konfiguration" (obwohl auch das bei der Anmeldung abbricht). Ich hab's jetzt auch mal mit einer Ubuntu-CD versucht. Da kommt dann:
crc-Fehler -> System halted

Wie geht's jetzt weiter? Was kann ich da noch machen?
(Die Festplatte ist ca. 2-3 Jahre alt. Ich glaube eigentlich nicht, dass die 'ne Macke hat.)

P.S.: Den SPTD-Treiber hatte ich vorher deinstalliert (Download -> Uninstall ausgeführt).
Antivir hatte ich schon vor der Threaderstellung deinstalliert, und wollte es danach wieder installieren. Das ging aber dann nicht mehr. Setup-Abbruch.

#10 Das sollte zumindest nichts mit Malware zu tun haben. Du kannst mit der XP cd ein chkdsk c: /f machen um Fehler auf der Festplatte zu beseitigen.
Wenn allerdings die Ubuntu CD schon nicht funktioniert(hat sie das vorher getan?), sieht es nach Hardwaredefekt aus....
__________
MfG Ralf
SEO-Spam Hunter