Hallo,

letzte Woche wollte ich den Rechner eines Bekannten wieder flott machen, nachdem dieser wohl schon längere nicht mehr richtig in Benutzung war. Mir fiel auf, dass die Mühle unverhältmäßig langsam war, weshalb ich mal MBAM drübergejagt habe. So auffällig schien mir das Ergebnis aber nicht, habe dann aber noch mal mit FSBL, MBR, HijackThis, Gmer nachgeschaut, wobei GMER dann unter "Rootkit/Malware" tatsächlich etwas gemeldet hat. Nun, voilà:

HijackThis-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:42:38, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\gmer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.stonec.com:2095/horde/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.1.1:3128/ken2000.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4876 bytes
         

MBAM-Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1955
Windows 5.1.2600 Service Pack 3

09.04.2009 12:27:08
mbam-log-2009-04-09 (12-27-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 151662
Laufzeit: 1 hour(s), 49 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ide21201.vxd (Adware.WinButler) -> Quarantined and deleted successfully.
         

Gmer-Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-14 08:35:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  FA0521DC                                                                                          ZwCreateThread
SSDT  FA0521C8                                                                                          ZwOpenProcess
SSDT  FA0521CD                                                                                          ZwOpenThread
SSDT  FA0521D7                                                                                          ZwTerminateProcess
SSDT  FA0521D2                                                                                          ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

?     lmjdo.sys                                                                                         Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg   HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32@                C:\WINDOWS\System32\Bcbpqifm.dll
Reg   HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32@ThreadingModel  Apartment

---- EOF - GMER 1.0.15 ----
         

Und der Vollständigkeit halber noch FSBL und MBR:

Code: Alles auswählenAufklappen

ATTFilter

04/07/09 10:40:57 [Info]: BlackLight Engine 2.2.1092 initialized
04/07/09 10:40:57 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/07/09 10:40:58 [Note]: 7019 4
04/07/09 10:40:58 [Note]: 7005 0
04/07/09 10:41:13 [Note]: 7006 0
04/07/09 10:41:13 [Note]: 7011 120
04/07/09 10:41:13 [Note]: 7035 0
04/07/09 10:41:13 [Note]: 7026 0
04/07/09 10:41:14 [Note]: 7026 0
04/07/09 10:41:36 [Note]: FSRAW library version 1.7.1024
04/07/09 10:53:12 [Note]: 7007 0
         

Code: Alles auswählenAufklappen

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         

Besteht da jetzt Handlungsbedarf?

- Hal.

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Registry keys to delete:
HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}

Files to delete:
C:\WINDOWS\System32\Bcbpqifm.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Poste ein neues Gmer-Log.

ciao, andreas

Danke erstmal.

Hier das Avenger-Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\System32\Bcbpqifm.dll" not found!
Deletion of file "C:\WINDOWS\System32\Bcbpqifm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Registry key "HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
         

Gmer läuft gerade, das Log werde ich wahrscheinlich erst morgen posten.

Bis dahin.

- Hal.

Und noch das neue Gmer-Log:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-15 08:01:46
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            FA08DCDC                  ZwCreateThread
SSDT            FA08DCC8                  ZwOpenProcess
SSDT            FA08DCCD                  ZwOpenThread
SSDT            FA08DCD7                  ZwTerminateProcess
SSDT            FA08DCD2                  ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

?               agjoe.sys                 Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device          \FileSystem\Cdfs \Cdfs    F4F22400

---- EOF - GMER 1.0.15 ----
         

Poste bitte noch das Log von Malwarebytes mit den Funden.

ciao, andreas

Das MBAM Log ist im Eingangsposting. Oder meintest du ein neues nach Avenger und zweites Mal Gmer?

- Hal.

Nein, alles klar. Wie geht es dem Rechner? Noch Auffälligkeiten?

ciao, andreas

Das einzige, was wirklich noch auffällt, ist, dass es nach dem Start etwas mehr als 5 min dauert bis man halbwegs mit der Kiste arbeiten kann. Ich habe mir dazu mal die Ereignisanzeige angeschaut um zu sehen, ob er beim Start von irgendeinem Dienst oder sonst was hängt, konnte aber nichts Auffälliges erkennen.

Ist das Dingen aber erstmal gestartet, läuft es auch rund (zumindest so, wie man es bei der gegebenen Hardware erwartet).

War denn tatsächlich Malware drauf? Wenn ja, was?

- Hal.

Zitat:

War denn tatsächlich Malware drauf?

Ja, das waren aber nur Reste in der Registry. Die Datei war schon gelöscht.

Zitat:

Wenn ja, was?

KA.
Vielleicht der: http://www.sophos.com/security/analy...jpadodorr.html
Oder der: AHIKIM32.DLL - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - Adware.CPlain.Process
Oder der: entfernen Sie Berbew.M Virus an VirusSpy - Lschung Berbew.M Viren fr freies (die automatische Übersetzung ist herrlich)

ciao, andreas

Dann gibt es womöglich eine andere Ursache für das Schneckentempo.

Auf jeden Fall allerbesten Dank für deinen Support, Andreas.

- Hal.

Zitat:

Dann gibt es womöglich eine andere Ursache für das Schneckentempo.

1.) Deinstalliere SUPERAntiSpyware und alle Toolbars.

2.) Starte HJT => Do a system scan only => Markiere:

Code: Alles auswählenAufklappen

ATTFilter

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.stonec.com:2095/horde/index.php
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.1.1:3128/ken2000.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
         

=> Fix checked

ciao, andreas

Oha, gut dass ich nochmal reingeschaut habe. Ich dachte, ich wäre schon entlassen.

Alles klar, ich deinstalliere das Zeug mal und dann wird es hoffentlich ein wenig besser.

Gibt es an SuperAntiSpyware - außer Ressourcenfresserei - etwas auszusetzen?

- Hal.

Zitat:

Gibt es an SuperAntiSpyware - außer Ressourcenfresserei - etwas auszusetzen?

Falls du es behalten möchtest, dann deaktiviere den Wächter/Guard.

Poste ein neues HJT-Log und berichte, ob er immer noch solange braucht.

ciao, andreas

Aaaahhhhh, na das sieht ja schon ganz anders aus. Im Vergleich zu vorher fluppt es wie ne eins. Möchte echt gern wissen, was da diesen Trouble verursacht hat.

Hier das Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:14:04, on 20.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 3378 bytes
         

Dann nochmal allerbesten Dank für deine Bemühungen.

- Hal.

Log ist sauber, bist entlassen.

ciao, andreas