| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit - Weiterleitungen von bing/google auf unbekannte SeitenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.03.2012, 17:04
| #1 |
| |  Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten Hallo liebe Community, liebe Admins und Moderatoren, ich bin auf euer Forum gestoßen, als ich nach dem oben beschriebenen Problem gebingt habe. Das Problem ist gestern Abend aufgetreten und meine Microsoft Security Essentials zeigten Sirefef.(aa/f/...) Weiterleitungen von google/bing funktionieren seitdem nicht mehr. Ich dachte mir ich probiere es einfach mit nem Virenscanner im Bootmodus (hatte Avira gerade zur hand auf nem USB stick) der hat auch einiges gefunden, aber hat nichts gebracht. Beim Erstellen der gewünschten Logfiles tritt leider das Problem auf, dass DDS nach ca. 2-3 Minuten nichts mehr tut. Ich habe den Laptop hier (Windows 7/32bit) ca. 10-15min einfach machen lassen, es passiert nichts. Auch nach mehrmaligen Versuchen und schließen aller Programme nichts. Der Pc ist dann auch zu nichts mehr funktionfähig und lässt sich nur noch per Reset neustarten. Defrogger log: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:52 on 05/03/2012 (xChr1s)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-05 17:01:04
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 FUJITSU_MHV2120AT_PL rev.004200A0
Running: ew7g6iot.exe; Driver: C:\Users\xChr1s\AppData\Local\Temp\kwdiykob.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwSaveKey + 13CD 82C7E9A9 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 5A2 82C9E4E2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text netbt.sys 8940030C 1 Byte [40]
.text netbt.sys 8940030C 33 Bytes [40, 00, 00, 42, 00, 00, 00, ...]
.text netbt.sys 89400331 1386 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text netbt.sys 8940089F 228 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text netbt.sys 89400984 3 Bytes [00, 00, 00]
.text ...
.INIT C:\Windows\System32\DRIVERS\netbt.sys entry point in ".INIT" section [0x8940E222]
? C:\Windows\System32\DRIVERS\netbt.sys suspicious PE modification
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x92017000, 0x23097E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] ntdll.dll!LdrLoadDll 77D3223E 5 Bytes JMP 68E05B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!CryptImportPublicKeyInfoEx + 98 75F96CCA 7 Bytes JMP 3567574C C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!I_CryptEnumMatchingLruEntries + D5D 75F9CADD 7 Bytes JMP 356757AC C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004c halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
---- Modules - GMER 1.0.15 ----
Module (noname) (*** hidden *** ) 897E2000-897F1000 (61440 bytes)
---- Threads - GMER 1.0.15 ----
Thread System [4:280] 85BBB540
Thread System [4:284] 85BBB540
Thread System [4:3100] 9C724F2E
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost@netsvcs AeLookupSvc?CertPropSvc?SCPolicySvc?lanmanserver?gpsvc?IKEEXT?AudioSrv?FastUserSwitchingCompatibility?Ias?Irmon?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?Rasman?Remoteaccess?SENS?Sharedaccess?SRService?Tapisrv?Wmi?WmdmPmSp?raidmagt?KMWDFilter?aolservice?s217mgmt?z525obex?SE26mdm?spmgr?sansaservice?protexislicensing?DivisCTS?datunidr?VICESYS?A88xXBar?pdlncbas?lvpr2mon?softfax?nmap?WmBEnum?yats32?DM9102?ssfs0509?se58mgmt?vpn5000service?rpaservice?hdthermal?TermService?wuauserv?BITS?ShellHWDetection?LogonHours?PCAudit?helpsvc?uploadmgr?iphlpsvc?seclogon?AppInfo?msiscsi?MMCSS?wercplsupport?EapHost?ProfSvc?schedule?hkmsvc?SessionEnv?winmgmt?browser?Themes?BDESVC?AppMgmt?
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winsat\MediaEx\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c:AC\Clip_1080_5sec_MPEG2_HD_15mbps.mpg\GpuEngineUsage\A1/N1/E1@DwmR\x20ac\0\0 29
---- Files - GMER 1.0.15 ----
File C:\Windows\$NtUninstallKB15873$\1734495778 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\@ 2048 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\L 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\L\xadqgnnk 187904 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\loader.tlb 2632 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@00000001 45968 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000c0 2560 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cb 3072 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cf 1536 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@80000000 73216 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000c0 43520 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cb 25600 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cf 31232 bytes
---- EOF - GMER 1.0.15 ----
Bin für jede Hilfe sehr dankbar. Falls ich dds doch noch zum laufen bekomme füge ich das File ein. Mit den besten Grüßen Chris P.S. ich habe auf einer anderen Partion noch Fedora 16 liegen mit denen ich ein paar Files gesichert habe. Da sollte ja warscheinlich nichts infiziert sein, da mir der Fehler dort auch noch nicht vorgekommen ist. Oder? |
|
05.03.2012, 17:05
| #2 |
| /// Malware-holic   | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten hi nutzt du den pc für onlinebanking einkäufe sonstige zahlungsabwicklungen oder ähnlich wichtigem wie beruflichem?
__________________
__________________ |
|
05.03.2012, 17:16
| #3 |
| | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten Ja das tue ich in der Regel, sollte ich mir gedanken machen?
__________________Add: Also die letzten Tage habe ich nichts mehr was Onlinebanking betrifft getan. Das letzte mal 1.3. und da war noch nichts bekannt. Habe derzeit aber auch kein ersatz, da ich für 4Monate in Wien bin zum studieren und Laptop natürlich nutzen muss. Geändert von xChr1s (05.03.2012 um 17:19 Uhr) Grund: Added |
|
05.03.2012, 17:18
| #4 |
| /// Malware-holic | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten ja. rufe deine bank an, evtl. notfall nummer benötigt: 116 116 sperren lassen, wegen zero access rootkit. der pc muss neu aufgesetzt und dann abgesichert werden 1. Datenrettung:
4. alle Passwörter ändern! 5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen. 6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
05.03.2012, 17:26
| #5 |
| | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten gibts ne möglichkeit um herauszufinden ob mein linux system auch infiziert ist? mein onlinebanking ist über chiptan gesichert und das andere benutzt leider noch die alten tan listen. |
|
05.03.2012, 17:27
| #6 |
| /// Malware-holic | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten das rootkit befällt kein linux. onlinebanking trotzdem sperren wenn es vom windows system aus gemacht wurde
__________________ --> Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten |
|
05.03.2012, 17:47
| #7 |
| | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten Habe jetzt mein Sparkassen Onlinekonto gesperrt und bei meinem anderen Konto den Anmeldename + Pin aus dem Linuxsystem hier geändert. Es waren auch auf beiden bis jetzt keine Zugriffe drauf seit dem 1.3. als ich es das letzte mal genutzt habe("gefühlsmäßig" lief das rootkit da anscheinend noch nicht...). Da ich im Ausland bin kann ich gerade nicht zur nächsten Filiale gehen... Ist das grob Fahrlässig gerade? Auf dem Konto liegt keine große Summe, aber ich benötige es trotzdem... Wie geht es nun weiter? Mit der Windows Neuinstallation habe ich noch etwas Zeit, da ich mir erstmal nen Image besorgen und auf den USB stick packen muss(MSDN-Account). Derzeit fahre ich mit linux ganz gut... Wie läuft es nun mit den Onlinebanking accounts? Passwörter bin ich bereits an den wichtigen stellen bei zu ändern. Lg Chris P.S. Super Super dicken Dank für deine schnelle Antwort. |
|
05.03.2012, 17:59
| #8 |
| /// Malware-holic | Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten passwörter endern wird wohl reichen. mit dem windows system darf nicht mehr gearbeitet werden, zumindest nicht bei aktiever inet verbindung
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten |
| avira, browser, firefox, harddisk, infiziert, locker, microsoft, microsoft security, microsoft security essentials, mozilla, ntdll.dll, problem, programme, registry, rootkit, scan, schließen, security, seiten, server, software, stick, svchost, system, temp, unbekannte seiten, usb, windows, wmi |
Linear-Darstellung
