| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit trotz format c: noch erhalten?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
09.01.2009, 19:16
| #1 |
 |  Rootkit trotz format c: noch erhalten? Moinmoin. Ich denke ich habe ein Problem. Um mal von Vorne anzufangen, ich habe vor einiger Zeit in das Anti-Vir Forum geschrieben, weil mein AV sie nicht updaten wollte. Damals habe ich schon einen HijackThisLog erstellt, der jedoch nichts versprach. Durch vollständigen Systemcheck mit AV mit hoher Heuristiksuchweite habe ich einen Log enthalten, den die Member mir als "Rootkit" identifiziert hatten. Nun dann habe ich mir gedacht, Pech hat man immer mal ein wenig, und habe mein System neu aufgesetzt. Sofort Antivir installiert, SP2 drauf gehauen etc. Das allererste, was ich nach der Systemneuinstallation entdeckt hatte, waren diese Fehlermeldungen nach dem Antivir-Update: Code:
ATTFilter In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp11.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/Patched.CK.56' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp11.tmp
Fehlercode: [0x00000005 - Zugriff verweigert].
In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp10.tmp'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
Fehler in AntiVir Guard.
Fehlertext: Aktion ist fehlgeschlagen für die Datei: C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp10.tmp
Fehlercode: [0x00000005 - Zugriff verweigert].
Diese Dateien existieren immernoch und ich habe keine Hilfe gefunden, wie ich diese löschen kann. Desweiteren habe ich jedes mal, wenn ich versucht habe über den Arbeitsplatz an eine Festplatte zu kommen, die Fehlermeldung "boot.com ist keine zulässige Win32-Anwendung" bekommen. Durch diverse Tutorials, autoruneater und Malware-Programmen habe ich diesen Trojaner/Whatever doch entfernen können. Doch seit heute habe ich erneute Probleme. Ich hab es hier schon oft im Forum gesehen, aber nichts kann mir so recht helfen... Und zwar kann ich mit Google ohne Probleme googlen doch wenn ich ein Suchergebnis anklicke, lande ich automatisch wieder auf einer Spam/Spyware Seite. (lifestrip etc) Bei der Formatierung habe ich alles formatiert bis auf meine externe Festplatte, kann es sein, dass der/das Rootkit noch auf der Festplatte existiert und mich von da aus verseucht? Gibt es Lösungen zur Reinigung, die an einer Formatierung vorbeigehen? (Viiiele wichtige Dateien... Webdesign x.x) Hier nochmal zur Hilfe mein HijackThisLog: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:15:34, on 09.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Autorun Eater\oldmcdonald.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Autorun Eater\billy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\ICQ6.5\ICQ.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\foobar2000\foobar2000.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 3237 bytes PS1: Die Formatierung war erst gestern Abend (08.01.) PS2: Hier der zugehörige AntiVir-Thread: http://forum.avira.com/wbb/index.php...threadID=80946 Edit: Erneuter Scan: Code:
ATTFilter Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 9. Januar 2009 19:46
Es wird nach 1172645 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: WAMBO
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 20:46:30
ANTIVIR2.VDF : 7.1.1.88 726528 Bytes 08.01.2009 20:46:33
ANTIVIR3.VDF : 7.1.1.89 2048 Bytes 08.01.2009 20:46:34
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 14.10.2008 10:05:56
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 08.01.2009 20:46:43
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 15:06:41
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.4 393591 Bytes 11.11.2008 09:41:39
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 08.01.2009 20:46:42
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 08.01.2009 20:46:40
AEHELP.DLL : 8.1.2.0 119159 Bytes 08.01.2009 20:46:36
AEGEN.DLL : 8.1.1.8 323956 Bytes 08.01.2009 20:46:36
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.5.2 172405 Bytes 08.01.2009 20:46:35
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Beginn des Suchlaufs: Freitag, 9. Januar 2009 19:46
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'billy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'oldmcdonald.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFISPI.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTXFIHLP.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTHELPER.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VolPanel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '29' Prozesse mit '29' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '48' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp10.tmp
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Temp\tmp11.tmp
[FUND] Ist das Trojanische Pferd TR/Patched.CK.56
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'
Geändert von Kartoffel (09.01.2009 um 20:10 Uhr) |
| Themen zu Rootkit trotz format c: noch erhalten? |
| 'tr/atraps.gen', .com, 1.tmp, antivir, antivirus, avira, entfernen, festplatte, firefox, google, hijack, hkus\s-1-5-18, internet, internet explorer, logfile, mozilla, nt.dll, programm, prozesse, registry, rootkit, rundll, suchlauf, system neu, systemcheck, trojan, verweise, virus, virus gefunden, warnung, windows, windows xp, zugriff verweigert |
Baum-Darstellung