Nabend allerseits.

Als Vorwort: Ich habe schon Stunden mit Google verbracht und ein anderes Supportboard konnte mir auch nicht wirklich weiterhelfen.

Es ist mir egal ob Daten jetzt ausgelesen oder protokolliert werden, diesen PC benutze ich nur zum Spielen und für Musik, ich will nur einen stabilen Explorer

Ein Freund hat mir ein Spiel empfohlen und das wollte ich gleich mal austesten, leider war die Website des Herstellers nicht zu erreichen, also habe ich mir einen Mirror ergoogelt.
Installer runtergeladen, wollte ausführen, NOD32 motzt schon mal.
Habe auf Block Threat geklickt, den Installer gelöscht, und gleich den Papierkorb geleert, dann hat es begonnen.

Der Explorer war weg, und nach wenigen Sekunden hat er sich wieder blicken lassen, immer und immer wieder bis ich ihn als er da war via Taskmanager gekillt habe.

Inzwischen habe ich schon Komplettscans mit SUPER.AntiSpyware, NOD32, SpyBot - Search&Destroy und ein paar Nonames hinter mir.
Des Weiterem habe ich rausgefunden dass sämtliche Daten im Ordner "C:\Windows\AppPatch" damit zusammenhängen, von denen ich leider nur die .dlls im abgesicherten Modus entfernen konnte.
Der Rest wird durch ein Rootkit für mich unsichtbar und unerreichbar gemacht.

Das andere Supportboard an das ich mich wand, welches mir auch ein paar der Scanner empfohlen hatte, verschrieb mir auch den "Rootkit Hook Analyzer".
Leider war nichts merkwürdiges damit festzustellen.

Darauf habe ich wieder ein wenig herumgegoogelt und folgte dem Rat SUPER.AntiSpyware (ich hasse diesen Namen) im abgesicherten Modus rennen zu lassen.
Gesagt, getan, und es wurde wirklich ein neuer Schädling gefunden.
Im normalen Modus bekomme ich aber immer 2mal die Fehlermeldung "Invalid floating point operation", und zwar jedes Mal wenn der Explorer auftaucht, einmal mit dem roten Kreis und dem weißen X in der Mitte, und einmal dasselbe ohne dem Kreis. (Wer sich darunter nichts vorstellen kann, ich kann ein Screenshot davon hochladen)

Nach einigen Experimenten wollte ich dann schauen ob der "Rootkit Hook Analzyer" etwas Neues findet, also habe ich ihn gestartet, und jetzt spuckt der mir diese 2 Fehlermeldungen ins Gesicht, dafür aber kann der Explorer ohne diese beiden starten, um wenige Sekunden danach wieder zu verrecken.

So viel zu meinen bisherigen Versuchen und Observationen.

Mir wurde auch geraten die Repairdisk mal laufen zu lassen, wo das nächste Problem ist, die hat nämlich einen Kratzer auf dem Label und kann nicht gelesen werden, wo sich eine Frage bei mir auftut.

Angenommen ein Freund würde eine .iso von seiner Kopie der Windows XP CD hochladen, und ich würde diese in ein emuliertes Laufwerk (via Daemon Tools, ISO Buster etc.) "legen", würde /scannow dann noch immer funktionieren und ich könnte beschädigte/korrupierte Systemdaten reparieren/austauschen?

Ich hoffe hier kann mir jemand helfen

Hier dann noch mein HJT Log.
EDIT: Das zensierte = SUPER.AntiSpyware, warum auch immer jemand beschlossen hat dieses aus dem Forum zu verbannen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 21:40:59, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\****************\****************.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\Real\RealPlayer\realplay.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Beed9\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 209.172.59.193 www.murof2.tk
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin11USA.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173899531859
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://193.226.122.235/activex/AMC.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe
         

Hallo.

Zitat:

Der Rest wird durch ein Rootkit für mich unsichtbar und unerreichbar gemacht.

Wirklich? Welches Programm hat dir Rootkitbefall angezeigt? Falls du wirklich ein Rootkit im System hast, bleibt dir nur das Neuaufsetzen des selbigen, denn eine Bereinigung ist bei solchen Schädlingen alles andere als sicher!

Der Ordner wird als leer angezeigt, hat eine Größe von 0kb, dennoch kann ich ihn nicht löschen, da etwas im Ordner benutzt wird, da ist ein Tool um das zu erkennen überflüssig

Rootkits lassen sich entfernen, wenn man sie erstmal gefunden hat.

Ich kann den Ordner im abgesicherten Modus löschen, aber er taucht wieder mit dem Start von Windows auf.
Hätte jemand einen Einfall wie man herausfinden kann welcher Dienst dafür verantwortlich ist?

Danke für die Antwort erstmal!

Der Ordner wird als leer angezeigt, hat eine Größe von 0kb, dennoch kann ich ihn nicht löschen, da etwas im Ordner benutzt wird, da ist ein Tool um das zu erkennen überflüssig

Rootkits lassen sich entfernen, wenn man sie erstmal gefunden hat.

Ich kann den Ordner im abgesicherten Modus löschen, aber er taucht wieder mit dem Start von Windows auf.
Hätte jemand einen Einfall wie man herausfinden kann welcher Dienst dafür verantwortlich ist?

Hi,

nur kurz dazwischen...

Was ist das hier:
O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe

und das hier (Montreal?):
O1 - Hosts: 209.172.59.193 www.murof2.tk

Chris

Verdammt, hab mich da mit der Editfunktion vertan

Naja, das zensierte ist Super.AntiSpyware, ein Scanner.
Gibt eig. nur positives Feedback von dem zu sehen, ka warum das hier zensiert wird.

Zum 2. Eintrag, das ist ein Eintrag in der Host-Datei, unwichtig

Hmm,

wenn ich das richtig verstehe, dann hast Du ein leeres Verzeichnis was nicht löschbar ist und den Verdacht, dass ein Rootkit unterwegs ist?

Das einfachste in diesem Fall ist von einer Boot-CD zu starten:
Boot-CD erstellen:
Am einfachsten geht dies über http://www.ubcd4win.com/, runterladen installieren und dann mit einer XP-CD (Installations-CD bzw. Recovery-CD [das gibt dann allerdings eine
Warnung!])die Boot-CD erstellen.
Vorteil dabei ist, dass die "Universal Boot CD für Windows" gleich Virenscanner und Tools an Board hat, mit denen man dann gleich loslegen kann.
Rootkits liegen nach dem Booten von CD "ungeschützt" auf der Platte (da sie ja nicht gestartet wurden) und können dann sehr einfach gesucht u.
gelöscht werden. Ein Remoteregistry-Editor steht ebenfalls zur Verfügung.

Alternativ nochmal ein Scan mit gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html

chris

kann mir hier vielleicht jemand helfen?

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Nachdem ich Dr. Web Cureit ausgeführt habe, was gestern fast den ganzen Tag gescannt hat hab ich nun das Problem das sich mein Computer immer wieder von alleine ausschlatet neustartet...das komische ist aber immer wenn ich einen HijackThis ausführen möchte??? auch wenn ich im google HijackThis eingebe??? bin am verzweifeln...

Hi,

dann wird ein Rootkit laufen, der Deinen Rechner überwacht und alle Aktion verhindert Ihn zu säubern -> ZombiePC!

Du solltes neu aufsetzten oder wie vorgeschlagen über eine Bootdiskette arbeiten um noch wichtige Daten retten zu können.

Ansonsten probiere mal aus ob HJ funktioniert, wenn Du die HJ-Exe auf z. B. test.com umbennenst (und nochmal probieren)...

Hat CureIT was gefunden? Wenn ja bitte LOG posten!

Chris