gmer meldet Rootkit-Befall

#16 Ja, 3 Sekunden Differenz zur Funkuhr.

#17 Datum stimmt aber?

Aber das Problem mit FF tritt dennoch auf?

#18 Ja, Datum stimmt.

Das Problem mit Firefox ist, seitdem ich es einmal im abgesicherten Mode gestartet habe, nicht wieder aufgetreten. In der Ereignisanzeige sind auch keine weiteren Fehler mehr aufgetreten.

Was ist mit der ursprünglichen Rootkit-Meldung von gmer? Soll ich gmer nochmal drüber laufen lassen?

Momentan möchte Windows gern neue Updates herunterladen und installieren. arf ich das schon zulassen? Oder ist vorher etwas anderes zu tun?

#19 Nein warte mit den Updates:

Richtig. Lass GMER Erneut scannen.

#20 Hier ist das Gmer_log:

Code

GMER 2.1.19163 - http://www.gmer.net
Rootkit scan 2013-08-16 17:35:18
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HM250HI rev.2AC101C4 232,89GB
Running: klj5cm57.exe; Driver: C:\DOKUME~1\ingo\LOKALE~1\Temp\kgrcraob.sys


---- System - GMER 2.1 ----

SSDT            F7B54176                                                                                                                            ZwCreateKey
SSDT            F7B5416C                                                                                                                            ZwCreateThread
SSDT            F7B5417B                                                                                                                            ZwDeleteKey
SSDT            F7B54185                                                                                                                            ZwDeleteValueKey
SSDT            F7B5418A                                                                                                                            ZwLoadKey
SSDT            F7B54158                                                                                                                            ZwOpenProcess
SSDT            F7B5415D                                                                                                                            ZwOpenThread
SSDT            F7B54194                                                                                                                            ZwReplaceKey
SSDT            F7B5418F                                                                                                                            ZwRestoreKey
SSDT            F7B54180                                                                                                                            ZwSetValueKey

---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                            section is writeable [0xF6326360, 0x305AC7, 0xE8000020]
init            C:\WINDOWS\system32\drivers\tifm21.sys                                                                                              entry point in "init" section [0xF6142EBF]
?               System32\Drivers\hiber_WMILIB.SYS                                                                                                   Das System kann den angegebenen Pfad nicht finden. !

---- User code sections - GMER 2.1 ----

.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!GetSysColor                                                                        7E368E78 5 Bytes  JMP 00418ED0 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!GetSysColorBrush                                                                   7E368EAB 5 Bytes  JMP 00418F40 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!SetScrollInfo                                                                      7E369056 7 Bytes  JMP 00418DC0 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!GetScrollInfo                                                                      7E37DFE2 7 Bytes  JMP 00418D10 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!ShowScrollBar                                                                      7E37F2F2 5 Bytes  JMP 00418E90 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!GetScrollPos                                                                       7E37F704 5 Bytes  JMP 00418D50 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!SetScrollPos                                                                       7E37F750 5 Bytes  JMP 00418E00 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!GetScrollRange                                                                     7E37F787 5 Bytes  JMP 00418D80 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!SetScrollRange                                                                     7E37F99B 5 Bytes  JMP 00418E40 C:\WINDOWS\SMINST\Scheduler.exe
.text           C:\WINDOWS\SMINST\Scheduler.exe[1484] USER32.dll!EnableScrollBar                                                                    7E3B8005 7 Bytes  JMP 00418CD0 C:\WINDOWS\SMINST\Scheduler.exe

---- Devices - GMER 2.1 ----

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                             SynTP.sys
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                             eabfiltr.sys
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                                            fltmgr.sys

Device          \FileSystem\Cdfs \Cdfs                                                                                                              DLAIFS_M.SYS

---- Registry - GMER 2.1 ----

Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}                     
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@haelmmmjppehpjch    0x6B 0x61 0x70 0x61 ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@galkgodejipehe      0x61 0x63 0x6D 0x6E ...
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{7F582000-8FAA-AAAE-95F3-B702DA6F515C}@iaolgnjfhagdagdhmg  0x6B 0x61 0x61 0x61 ...

---- Disk sectors - GMER 2.1 ----

Disk            \Device\Harddisk0\DR0                                                                                                               unknown MBR code

---- EOF - GMER 2.1 ----

Was mir Sorgen macht ist mindestens die Zeile:
Disk \Device Harddisk0\DR0 unknown MBR code

Was sagst Du zu dem Log?

Gruß Ingo.

#21 Soll ich evtl. mal mit aswMBR scannen?

Oder kann o.g. Meldung auch normal sein? In früheren logs von gmer auf demselben Rechner (z.B. nach früherer bereinigung gab es keine Meldung bzgl. MBR.

Gruß Ingo.

#22 Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
• Starte die aswMBR.exe
Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
• Klicke auf Scan
• Warte bitte bis [color=green]Scan finished successfully[/color] im DOS Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.Poste mir die aswMBR.txt in deiner nächsten Antwort.

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

#23 Das Logfile ist beigefügt. Ich habe nichts gefixed, nur gescannt.
Gruß Ingo.

#24 Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
• Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur eine Sekunde.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

#25 Da ist das Logfile.

#26 MBR wiederherstellen

Downloade die MBR.exe von Gmer und
speichere es auf Deinem Desktop.

Kopiere die Datei mbr.exe nach C:\Windows\system32
Start => ausführen => cmd (da reinschreiben) => OK
es öffnet sich ein Dosfenster
bitte dort nach dem Prompt eingeben: mbr.exe -f (Enter drücken)
und ggfs. den Anweisungen folgen.

#27 habe ich gerade getan, es gab keine Anweisungen, die Ausgabe des Programmes lautete:

Code

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: SAMSUNG_HM250HI rev.2AC101C4 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

#28 Was ist jetzt zu tun bei meinem PC?

Nebenbei:

Ich traue mich kaum zu fragen:
Das Netbook meiner Tochter (15) ist kürzlich mit Bluescreen abgestürzt. Ursache war ein wackeliger RAM in der Fassung - ist jetzt ok.

Beim Virencheck (Avira) habe ich einen Virus gefunden, Malwarebytes fand ca. 150 infizierte Dateien, die meisten aber *.txt. Hast Du die Zeit, wenn ich einen neuen Thread dafür anlege , bei der Bereinigung zu helfen?

Gruß Ingo.

#29 Dann mach einen neuen Thread

Hast Du bei Deinem PC noch Probleme?

#30 Hallo Swiss,

eigenlich habe ich keine Probleme. Ich habe eben nochmal aswMBR drüberscannen lassen. Die Zeile "unknown MBR code" wird nach wie vor ausgegeben.

Wenn das evtl. kein Alarmzeichen ist, würde ich sagen es ist ok und ich könnte die Behandlung abschließen. Anderes verdächtiges Verhalten kann ich momentan nicht feststellen.

Gruß Ingo.