Rootkit - Wer kann mir helfen?

Sirio60 · 06.05.2008, 21:07

Hallo zusammen. Zuallererst muss ich meine "Vorgeschichte" darlegen, um Missverständnisse zu vermeiden:

Ich habe mein Problem zuerst im Forum von hijackthis.de gepostet (siehe Was habe ich mir wohl eingefangen? - HijackThis.de Support Board). Der User, der mir scheinbar helfen wollte, hat sich dann allerdings nicht mehr gemeldet. Problem also nicht gelöst.
Im zweiten Versuch habe ich dasselbe Problem in diesem Forum gepostet (siehe http://www.trojaner-board.de/52034-h...ngefangen.html), dabei von Anfang an klar und offen dargelegt, dass ich die Frage bereits anderswo gestellt hatte, und auch den Link dazu angegeben (schon damit die potenziellen Helfer sehen konnten, was ich schon unternommen hatte).
Für die Offenheit wurde ich schlecht belohnt. Auch hier wollte mir ein User scheinbar helfen, hat sich dann aber mit der Bemerkung verabschiedet, ich hätte das Problem bereits in einem anderen Forum gepostet (was er ja von Anfang an gewusst hatte). Trotz meiner Bitte (auch via private Nachricht) hat auch dieser Experte kein Lebenszeichen mehr von sich gegeben.

Falls es doch jemand gibt, der wirklich helfen will und kann und mich nicht mit Vorschuss-Misstrauen belegen will, hier nochmals mein Problem sowie das Logfile. Danke schon mal für die Aufmerksamkeit und Gruss aus der +CH+
--------------------------
Seit Tagen läuft auf mein System nicht mehr rund. Programme lassen sich nicht mehr starten und produzieren Meldungen wie "zu wenig Systemressourcen", "nicht genügend Quoten" und derlei mehr. Auch Scannings mit Spybot S&D und Ad-Aware werden mit ähnlichen Meldungen abgebrochen. Nun habe ich zusätzlich festgestellt, dass es nicht mehr möglich ist, die Antiviren-Software (Trend Micro Internet Security Pro) zu aktualisieren. Meldung: Ihre Schutzkomponenten konnten nicht aktualisiert werden. Stellen Sie sicher, dass Ihre Internetverbindung usw. (diese ist aktiv).

Code:

ATTFilter

 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:44, on 06.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\BM\TMBMSRV.exe
C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Creative\VoiceCenter\AndreaVC.exe
C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\DOKUME~1\Roberto\LOKALE~1\Temp\clclean.0001
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\HP UT\bin\hppusg.exe
C:\Programme\getusage2xp.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\AutoSizer\AutoSizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\uTorrent\utorrent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Cablecom Assistant\bin\cablecom_assistant.exe
C:\Programme\Cablecom Assistant\bin\mpbtn.exe
C:\PROGRA~1\Motive\ASSTCO~1\MOTIVE~1.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
C:\Programme\Trend Micro\Internet Security\TmProxy.exe
C:\Programme\Trend Micro\TrendSecure\TSCFCommander.exe
C:\Programme\Trend Micro\TrendSecure\TSCFPlatformCOMSvr.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.ch/nwshp?ie=UTF-8&oe=UTF-8&hl=de&tab=wn&q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TransactionProtector BHO - {C1656CCA-D2EA-4A32-94AE-AE0B180E6449} - C:\Programme\Trend Micro\TrendSecure\TransactionProtector\TSToolbar.dll
O3 - Toolbar: ExtraTorrent Toolbar - {3DA353C2-FE7F-428C-B494-791DCDAF516E} - C:\PROGRA~1\EXTRAT~1\EXTRAT~1.DLL
O3 - Toolbar: Transaction Protector - {E7620C98-FCCC-40E5-92EC-C7685D2E1E40} - C:\Programme\Trend Micro\TrendSecure\TransactionProtector\TSToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [VoiceCenter] "C:\Programme\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\CABLEC~1\SMARTB~1\DExec.exe 180000 C:\PROGRA~1\CABLEC~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [UfSeAgnt.exe] "C:\Programme\Trend Micro\Internet Security\UfSeAgnt.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToolBoxFX] "C:\Programme\HP\ToolBoxFX\bin\HPTLBXFX.exe" /enum:on /alerts:on /notifications:on /systrayIcon:on /fl:on /fr:on /appData:on
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HPUsageTracking] "C:\Programme\HP\HP UT\bin\hppusg.exe" "C:\Programme\HP\HP UT\"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GetUsagev2] C:\Programme\getusage2xp.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [AutoSizer] "C:\Programme\AutoSizer\AutoSizer.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [µTorrent] "C:\Programme\uTorrent\utorrent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: cablecom assistant.lnk = C:\Programme\Cablecom Assistant\bin\matcli.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Trend Micro Zentrale Steuerkomponente (SfCtlCom) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\SfCtlCom.exe
O23 - Service: Trend Micro Unauthorized Change Prevention Service (TMBMServer) - Trend Micro Inc. - C:\Programme\Trend Micro\BM\TMBMSRV.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\Programme\Trend Micro\Internet Security\TmProxy.exe

--
End of file - 9406 bytes

undoreal · 06.05.2008, 22:19

Hallöle Siri.

Bevor wir hier anfangen möchte ich dir mitteilen, dass Rootkits eine wirklich ernst zu nehmende Bedrohung sind unnd äußerst schwer zu bereinigen sind!
Selbst wenn die schwierige Bereinigung gelingt garantiert das kein vertrauenswürdiges System!
Ich würde dir daher ans Herz legen den Rechner neuaufzusetzten. Damit hättest du schon lange wieder eine fuktionierende Kiste..

Wenn du dennoch weitermachen möchtest gibt es eine Mege für dich zu tun..

Folge dieser Anleitung und poste ALLE logs!

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste das logFile

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Überprüfe dein System mit SASW.

8) Mache einen letzten Maleware-Check mit Malewarebytes.

8) Durchsuche mit dem Kaspersky Online Scanner dein System.

9) Checke dein System mit dem ESET Online Scanner.

10) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

11) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).
Hinweis zum iClean Bericht: Kürze im log bitte die 032 und 033 redirected Einträge. (Diese wurden von Spybot erstellt.)

Sirio60 · 07.05.2008, 09:47

Hallo Undoreal und danke für deine Hilfe. Nach reiflicher Überlegung habe ich beschlossen, deinem Rat zu folgen und mein System neu aufzusetzen. Bevor ich loslege, hätte ich noch drei Fragen an dich:
- Kannst du ausdrücklich bestätigen, dass mein System durch einen Rootkit infiziert ist? Geht dies aus dem Logfile hervor?
- Kannst du mir eine gute Anleitung zum Aufsetzen des Systems empfehlen (WinXP, mit Vorbereitungsarbeiten etc.)?
- Gibt es - nebst den bekannten Verhaltensregeln - eine Möglichkeit, um sich vor Rootkits zu schützen? Die Antiviren-Software ist hier offensichtlich völlig machtlos und wird von dieser Malware sogar ausser Gefecht gesetzt.

Danke nochmals und Gruss Sirio

cosinus · 07.05.2008, 10:57

Zitat:

Zitat von Sirio60

- Kannst du ausdrücklich bestätigen, dass mein System durch einen Rootkit infiziert ist? Geht dies aus dem Logfile hervor?

Eine der Komponenten ist wahrscheinlich das hier (lt. Logfile aus dem hijackthis.de-Fred):

C:\WINDOWS\System32\Drivers\agt3do8q.SYS,Hidden driver file

Zitat:

- Kannst du mir eine gute Anleitung zum Aufsetzen des Systems empfehlen (WinXP, mit Vorbereitungsarbeiten etc.)?

Folge dem Link "neu aufsetzen" in meiner Signatur.

Zitat:

- Gibt es - nebst den bekannten Verhaltensregeln - eine Möglichkeit, um sich vor Rootkits zu schützen? Die Antiviren-Software ist hier offensichtlich völlig machtlos und wird von dieser Malware sogar ausser Gefecht gesetzt.

Aber klar doch - nennt sich Brain 2008

=> Kompromittierung unvermeibar?

KarlKarl · 07.05.2008, 17:11

Hi,

Sieht auch nach einem Rootkit aus, aber nicht nach einer Infektion. Ein Rootkit ist nichts bösartiges sondern nur eine Technik, in einem System was zu verstecken. Software wie Alcohol 120, Demon Tools, Security Sweeten, usw. machen das auch. Bei dem Treiber tippe ich erstmal auf eine solche Software, also Alocol oder Demon Tools. Diese und alle anderen Softwares zur CD/DVD-Emulation also deinstallieren und dann erneut scannen ob der mysteriöse Treiber noch da ist (oder ein anderer, denn ich gehe davon aus, dass er mit jedem Neustart den Namen wechselt). Aller Wahrscheinlichkeit nach wird er nicht mehr da sein.

Dennoch empfehle ich dir die Neuinstallation. Du hast jetzt wohl schon mehr Zeit in erfolglose Basteleien gesteckt als sie dauern würde. Dabei dann aber auch nur die Software wieder neu installieren, die wirklich benötigt wird. Wenn ich mir anschaue, was dein System alleine unter O4 im HijackThis alles startet, würde es mich nicht wudern, wenn es da irgendwo kracht.

Gruß, Karl

Sirio60 · 08.05.2008, 10:34

Vielen Dank für die Infos (betreffend Brain: Schon klar. Sagte ich ja - bekannte Verhaltensregeln...). Infiziert ist mein System ganz sicher, denn da funktioniert bald nichts mehr richtig, allem voran die Antiviren-Software. Deshalb wie gesagt: neu aufsetzen und Schluss!

cosinus · 08.05.2008, 10:47

Zitat:

Zitat von Sirio60

Vielen Dank für die Infos (betreffend Brain: Schon klar. Sagte ich ja - bekannte Verhaltensregeln...).

So bekannt ist das bei vielen leider nicht, deswegen verlinke ich diesen Artikel lieber einmal mehr als zuwenig.

Da stehen auch noch mehr Infos drin als man glaubt. Komplett gelesen hast Du ihn schon?

Zitat:

Deshalb wie gesagt: neu aufsetzen und Schluss!

Hut ab vor Deiner Konsequenz!

Viele TOs können sich wirklich eine Scheibe von Dir abschneiden!

Rootkit - Wer kann mir helfen?

Log-Analyse und Auswertung: Rootkit - Wer kann mir helfen?