Hi,
leider klappt Punkt 8 der Anleitung zum eScan nicht: mwavscan.com kann nicht gefunden werden. Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?
Klappt leider nicht (s.o.). Hilft Dir ein Log von eScan weiter, das ich einfach mal hab durchlaufen lassen?
Grüße,
biojoerg
(weiterhin )

P.S.: F-Secure Blacklight sagt mir: could not acquire necessary privileges (SeDebugPrivilege) und läuft auch nicht ;-(

Neuester Stand:
habe es mit Hilfe von Look2Me-Destroyer geschafft, das SeDebugPrivilege wieder einzurichten und F-Secure BlackLight laufen zu lassen. Leider gab es dort kein Log, er hat aber "two items" bereinigt.
Werd mich für heute aufs Ohr hauen

Hallo biojoerg,

Zitat:

Zitat von biojoerg

Hab ich das richtig verstanden, nur die Aktualisierung von eScan laufen lassen, dann beenden und in den abgesicherten Modus wechseln?

Yep. Probier mal im abgesicherten Modus:
Start - Ausführen: %temp%\mwavscan.com

Hat das Update von escan funktioniert?

Das log von Blacklight befindet sich im gleichen Ordner wie die fsbl.exe und nennt sich fsbl-200707....log. Poste bitte den Inhalt.

Bei rootkit-Befall gibt es imho nur eine Lösung, und die heißt Neuaufsetzen.

Gruß

hi ordell1234,

dank Dir für die Tipps. Kann nun einige Ergebnisse vorweisen. Zuerst folgt die Datei eScan_neu.txt.

Im Anschluss dann noch die fsbl.log von Blacklight. Hoffe, Du (oder irgendjemand) kann mir weiterhelfen!?!

viele Grüße,
biojoerg (voller hoffnung)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (updater.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\:iNdeDk.exe infiziert von "Trojan.Win32.Agent.vp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\WindowsXP-KB910437-x86-DEU.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\11.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\15.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.h". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\164.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\18.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\A.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\C.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\E.tmp//PE_Patch.Sue//PE-Crypt.Sue//PE_Patch.UPX//UPX markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\mozilla\firefox\mozilla firefox\updates\0\updater.exe
Offending file found: C:\WINDOWS\tasks\at1.job
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\WindowsXP-KB905915-x86-DEU.exe.part nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\AppPatch\18F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 66313
Gescannte Dateien: 66122
Gefundene Viren: 23
Gefundene Viren: 24
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 263
Anzahl Fehler: 262
Dauer des Scans bisher: 00:35:23
Dauer des Scans bisher: 00:34:49
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:43:42,04
Batchende: 17:44:25,43

OK, und nun das log von Blacklight:

07/05/07 22:54:35 [Info]: BlackLight Engine 1.0.61 initialized
07/05/07 22:54:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/05/07 22:54:36 [Note]: 7019 4
07/05/07 22:54:36 [Note]: 7005 0
07/05/07 22:54:42 [Note]: 7006 0
07/05/07 22:54:42 [Note]: 7011 1788
07/05/07 22:54:42 [Note]: 7026 0
07/05/07 22:54:42 [Note]: 7026 0
07/05/07 22:54:52 [Note]: FSRAW library version 1.7.1021
07/05/07 22:55:56 [Info]: Hidden file: c:\WINDOWS\siatu1.dll
07/05/07 22:55:56 [Note]: 10002 1
07/05/07 23:02:05 [Info]: Hidden file: c:\WINDOWS\system32:c_1000f.nls
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:03:25 [Note]: 2000 1012
07/05/07 23:08:38 [Note]: 7007 0

Hmm, mal abwarten, was Sunny sagt, aber nach meiner Einschätzung mußt du neuaufsetzen.

Zitat:

System found infected with w32.rontokbro.d@mm Worm (C:\WINDOWS\tasks\at1.job)! Action taken: Keine Aktion vorgenommen.

klingt nicht gut und kann im Zusammenhang mit den Rootkitfunden stehen.

Navigiere mal nach C:\windows\Tasks und schaue per Rechtsklick die Eigenschaft von at1.job an. Auf welche Datei wird da verwiesen?

Fraglich ist auch, was mit der c:\iNdeDk.exe auf sich hat. Lade die Datei bei virustotal.com hoch und poste den vollstandigen Bericht inkl. HASH und Dateigröße. Gruß

Zitat:

Zitat von ordell1234

Navigiere mal nach C:\windows\Tasks und schaue per Rechtsklick die Eigenschaft von at1.job an. Auf welche Datei wird da verwiesen?

hier heisst es:
C:\Windows\tasks\At1.job
Ausführen:Besitzer\eigene Dateien\Downloads\Look2Me-Destroyer.exe,
ausführen als: NT Authority\System

Zitat:

Zitat von ordell1234

Fraglich ist auch, was mit der c:\iNdeDk.exe auf sich hat. Lade die Datei bei virustotal.com hoch und poste den vollstandigen Bericht inkl. HASH und Dateigröße.

Leider lässt sich diese vermaledeite Datei nirgends finden.

Na fein, hat escan mal wieder Käse erzählt. Dennoch bleibt das Rootkitproblem.

Suche die C:\:iNdeDk.exe mittels dieser Einstellungen. Wird vermutlich nix bringen.

Lade dir gmer (Application), neben dem Reiter Rootkit auf ">>>" klicken, Reiter Processes wählen, in der rechtes Spalte "Files..." klicken und auf C:\ suchen. Datei kopieren, in rootkit.ren umbenennen, auf dem Desktop speichern und bei virustotal.com erneut veruchen. Gruß

edit: Hilfreich kann auch sein, bei "Rootkit" auf scan zu gehen. Sollte dir der Prozess als hidden angezeigt werden, dann beende ihn mittels Rechtsklick (delete service). Datei noch nicht löschen, s.o.

Liebe Leute,
bin bis Ende der Woche auf Dienstreise, werde mich danach wieder melden. Bitte vergesst mich nicht, danke!

Melde mich wieder zurück, nach wie vor

Zitat:

Zitat von ordell1234

Na fein, hat escan mal wieder Käse erzählt. Dennoch bleibt das Rootkitproblem.

Suche die C:\:iNdeDk.exe mittels dieser Einstellungen. Wird vermutlich nix bringen.

richtig

Zitat:

Zitat von ordell1234

Lade dir gmer (Application), neben dem Reiter Rootkit auf ">>>" klicken, Reiter Processes wählen, in der rechtes Spalte "Files..." klicken und auf C:\ suchen. Datei kopieren, in rootkit.ren umbenennen, auf dem Desktop speichern und bei virustotal.com erneut veruchen.

findet die Datei leider auch nicht

Zitat:

Zitat von ordell1234

edit: Hilfreich kann auch sein, bei "Rootkit" auf scan zu gehen. Sollte dir der Prozess als hidden angezeigt werden, dann beende ihn mittels Rechtsklick (delete service). Datei noch nicht löschen, s.o.

Unter Rootkit hat GMER tatsächlich das Programm gefunden. Auszug aus dem Log:
---- Files - GMER 1.0.13 ----

ADS C:\:iNdeDk.exe <-- ROOTKIT !!!
File C:\WINDOWS\siatu1.dll
ADS C:\WINDOWS\system32:c_1000f.nls

---- Services - GMER 1.0.13 ----

Service C:\:iNdeDk.exe [AUTO] WinOkp <-- ROOTKIT !!!

---- EOF - GMER 1.0.13 ----

Nun weiss ich leider nicht, wie ich die Datei kopieren kann. Wenn ich auf Files unter C:\ suche, passiert gar nix, er geht dann zurück zu Processes!??

Viele Grüße