sysrest.sys (Rootkit.Agent) von MBAM gefunden

Hal · 14.08.2009, 10:09

Ich habe vorgestern mal bei dem Rechner einer Freundin rein routinehalber MBAM laufen lassen. Viel kam dabei nicht heraus, allerdings machte mich der Eintrag sysrest.sys (Rootkit.Agent) stutzig. Habe dann mal ein wenig gegoogelt (u.a. auch bei Threatexpert reingeschaut) und gesehen, dass das wohl ein sehr übler Zeitgenosse zu sein scheint. Die Datei selbst konnte ich nicht mehr finden, allerdings jede Menge Registry Keys, die durch ihn verursacht werden sollen.

Ich habe dann mal in einem Anflug von heroischem Selbsteifer und wider besserem Wissen Combofix ausgeführt, was dann fleißig zugeschlagen hat. Nun, das Log ist beigefügt. Bin nur froh, dass das Dingen überhaupt noch was auf der Festplatte gelassen hat...

Besteht jetzt noch weiterer Bedarf?

- Hal.

P.S.: RSIT bricht bei der Ausführung von HijackThis mit einer Fehlermeldung ab.

MBAM Log (Funde wurden gelöscht):

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

12.08.2009 13:51:54
mbam-log-2009-08-12 (13-51-47).txt

Scan type: Full Scan (C:\|)
Objects scanned: 204187
Time elapsed: 3 hour(s), 30 minute(s), 44 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> No action taken.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> No action taken.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Combofix Log:

Code:

ATTFilter

ComboFix 09-08-10.06 - wehner 13.08.2009 16:23.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.511.272 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\grossmann\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00DA-0D24-347CA8A3377C}
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated) {806ED0B3-FFA4-00EB-0D24-347CA8A3377C}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_ISDEL.EXE
C:\_SETUP.DLL
C:\mymm_win.dll
C:\mymmpstr.dll
c:\programme\INSTALL.LOG
c:\windows\btish.dat
c:\windows\bxhlx.dat
c:\windows\cqgdo.dat
c:\windows\dcbba.dat
c:\windows\dhznu.dat
c:\windows\djdmh.dat
c:\windows\dsqou.dat
c:\windows\eigbv.dat
c:\windows\epfac.dat
c:\windows\ezqkl.dat
c:\windows\foxen.dat
c:\windows\hrqvf.dat
c:\windows\hvkzf.dat
c:\windows\idnap.dat
c:\windows\ihhuy.dat
c:\windows\Installer\1f83d6.msi
c:\windows\Installer\d2459f.msi
c:\windows\Installer\de99f5.msi
c:\windows\itsjq.dat
c:\windows\jbnpg.dat
c:\windows\jfpfe.dat
c:\windows\jofkm.dat
c:\windows\kbfpp.dat
c:\windows\kbtnt.dat
c:\windows\n_dexczk.dat
c:\windows\n_lnsdua.dat
c:\windows\n_ytwztu.dat
c:\windows\ngkji.dat
c:\windows\owbvp.dat
c:\windows\oxqyu.dat
c:\windows\pnemf.dat
c:\windows\qulon.dat
c:\windows\qwgzn.dat
c:\windows\rfrni.dat
c:\windows\rnyfq.dat
c:\windows\system32\addxv.dll
c:\windows\system32\adqcy.dll
c:\windows\system32\ajndq.dat
c:\windows\system32\akail.dll
c:\windows\system32\alclm.dll
c:\windows\system32\apgww.dll
c:\windows\system32\appiz.dll
c:\windows\system32\atltu.dll
c:\windows\system32\bcljq.dll
c:\windows\system32\bdsqu.dll
c:\windows\system32\brozb.dll
c:\windows\system32\btzvw.dll
c:\windows\system32\buiqh.dll
c:\windows\system32\buqys.dll
c:\windows\system32\bviri.dll
c:\windows\system32\byfrg.dll
c:\windows\system32\cbjop.dat
c:\windows\system32\cfjmt.dll
c:\windows\system32\civqd.dll
c:\windows\system32\ckkiw.dat
c:\windows\system32\cmuiz.dll
c:\windows\system32\cmxbs.dll
c:\windows\system32\cnsku.dat
c:\windows\system32\cotam.dat
c:\windows\system32\cueho.dat
c:\windows\system32\cufha.dll
c:\windows\system32\cytld.dll
c:\windows\system32\czvwj.dll
c:\windows\system32\dcwww.dll
c:\windows\system32\dedlk.dll
c:\windows\system32\dfunf.dll
c:\windows\system32\diumo.dll
c:\windows\system32\dizae.dll
c:\windows\system32\dksoo.dll
c:\windows\system32\dmsyq.dll
c:\windows\system32\dmucf.dll
c:\windows\system32\drjzs.dll
c:\windows\system32\dtrzi.dll
c:\windows\system32\dvanl.dll
c:\windows\system32\dvzlv.dll
c:\windows\system32\dxcrw.dll
c:\windows\system32\earab.dll
c:\windows\system32\eatxv.dat
c:\windows\system32\ebzdy.dll
c:\windows\system32\ejxqs.dat
c:\windows\system32\enyne.dat
c:\windows\system32\etbos.dll
c:\windows\system32\exufe.dll
c:\windows\system32\fbadd.dll
c:\windows\system32\fgwah.dll
c:\windows\system32\fiekp.dll
c:\windows\system32\fjvco.dll
c:\windows\system32\fkson.dat
c:\windows\system32\flkbw.dat
c:\windows\system32\flqyw.dll
c:\windows\system32\fnllw.dat
c:\windows\system32\fonjh.dll
c:\windows\system32\fptog.dll
c:\windows\system32\frnqz.dll
c:\windows\system32\fyuyp.dll
c:\windows\system32\fznvl.dat
c:\windows\system32\fzpnb.dll
c:\windows\system32\ghgvh.dll
c:\windows\system32\ghmjc.dat
c:\windows\system32\girex.dll
c:\windows\system32\gnnpo.dat
c:\windows\system32\gojgi.dll
c:\windows\system32\goofy.dll
c:\windows\system32\gqjws.dll
c:\windows\system32\grcbx.dll
c:\windows\system32\grhpt.dll
c:\windows\system32\gtalt.dll
c:\windows\system32\gzcvq.dll
c:\windows\system32\haqev.dll
c:\windows\system32\hbxqh.dll
c:\windows\system32\hgcox.dll
c:\windows\system32\hggnv.dll
c:\windows\system32\hhklp.dll
c:\windows\system32\hixnf.dll
c:\windows\system32\hmiba.dat
c:\windows\system32\hmubo.dll
c:\windows\system32\homly.dll
c:\windows\system32\hoqgz.dll
c:\windows\system32\hqkou.dll
c:\windows\system32\hqvgz.dll
c:\windows\system32\hsqcn.dll
c:\windows\system32\huxfq.dll
c:\windows\system32\hvihw.dll
c:\windows\system32\ibbqn.dat
c:\windows\system32\icsdq.dat
c:\windows\system32\igxca.dll
c:\windows\system32\iinsh.dll
c:\windows\system32\isqru.dll
c:\windows\system32\iuqcf.dll
c:\windows\system32\iyodj.dat
c:\windows\system32\jdcid.dll
c:\windows\system32\jfdwm.dll
c:\windows\system32\jfhlr.dll
c:\windows\system32\jgxhf.dll
c:\windows\system32\jhave.dll
c:\windows\system32\jlqfr.dat
c:\windows\system32\jwrma.dll
c:\windows\system32\jwsqe.dll
c:\windows\system32\kcgzb.dll
c:\windows\system32\khqaf.dll
c:\windows\system32\kormb.dll
c:\windows\system32\kqqss.dll
c:\windows\system32\krjsz.dat
c:\windows\system32\kungg.dll
c:\windows\system32\kzncq.dll
c:\windows\system32\lafjk.dat
c:\windows\system32\lcldw.dll
c:\windows\system32\lfels.dll
c:\windows\system32\lmobi.dll
c:\windows\system32\lpnvr.dat
c:\windows\system32\lueit.dll
c:\windows\system32\luucj.dll
c:\windows\system32\lwktw.dll
c:\windows\system32\lylmy.dll
c:\windows\system32\mfazp.dll
c:\windows\system32\mmzhz.dll
c:\windows\system32\mrbqy.dll
c:\windows\system32\mrnlh.dll
c:\windows\system32\mskdt.dll
c:\windows\system32\msqm.exe
c:\windows\system32\mukgr.dll
c:\windows\system32\myvae.dll
c:\windows\system32\naxpt.dll
c:\windows\system32\nefid.dat
c:\windows\system32\nfypf.dll
c:\windows\system32\njcom.dll
c:\windows\system32\nkwxr.dll
c:\windows\system32\nnilr.dll
c:\windows\system32\nqfuc.dll
c:\windows\system32\nqsfa.dat
c:\windows\system32\nvmwd.dll
c:\windows\system32\nztgv.dll
c:\windows\system32\nzxap.dll
c:\windows\system32\oarew.dll
c:\windows\system32\odiak.dat
c:\windows\system32\ohran.dll
c:\windows\system32\okxtq.dll
c:\windows\system32\oluhx.dat
c:\windows\system32\omlqa.dll
c:\windows\system32\onfze.dll
c:\windows\system32\opvqv.dll
c:\windows\system32\oqaer.dll
c:\windows\system32\ospxv.dll
c:\windows\system32\ouwjw.dll
c:\windows\system32\oypcc.dll
c:\windows\system32\oyran.dll
c:\windows\system32\pamfs.dat
c:\windows\system32\pcztd.dll
c:\windows\system32\peqnu.dat
c:\windows\system32\piwip.dat
c:\windows\system32\pnstm.dll
c:\windows\system32\psakm.dll
c:\windows\system32\pters.dll
c:\windows\system32\pxoly.dll
c:\windows\system32\pymuo.dll
c:\windows\system32\qckmc.dll
c:\windows\system32\qigji.dll
c:\windows\system32\qkgrr.dll
c:\windows\system32\qmyjc.dll
c:\windows\system32\qpdkw.dll
c:\windows\system32\qpezp.dat
c:\windows\system32\qukwz.dll
c:\windows\system32\quono.dll
c:\windows\system32\qvsvt.dll
c:\windows\system32\qxgnt.dll
c:\windows\system32\qyuwn.dll
c:\windows\system32\qzesb.dll
c:\windows\system32\rccip.dll
c:\windows\system32\rcrlc.dll
c:\windows\system32\rforr.dll
c:\windows\system32\rgsfz.dll
c:\windows\system32\rkjft.dll
c:\windows\system32\rlltc.dll
c:\windows\system32\rmbet.dll
c:\windows\system32\ruzow.dll
c:\windows\system32\rwrln.dll
c:\windows\system32\sawfx.dll
c:\windows\system32\sbdau.dll
c:\windows\system32\scsel.dll
c:\windows\system32\scunr.dll
c:\windows\system32\setup.ini
c:\windows\system32\seysk.dll
c:\windows\system32\shyzk.dll
c:\windows\system32\sigej.dll
c:\windows\system32\sivth.dll
c:\windows\system32\sjaae.dat
c:\windows\system32\sjjnc.dll
c:\windows\system32\slpsy.dll
c:\windows\system32\spsdj.dat
c:\windows\system32\sudlt.dll
c:\windows\system32\swjfq.dll
c:\windows\system32\sxgcp.dll
c:\windows\system32\szgew.dll
c:\windows\system32\tdnmm.dll
c:\windows\system32\tieed.dll
c:\windows\system32\tkcih.dll
c:\windows\system32\tposl.dll
c:\windows\system32\twmzz.dat
c:\windows\system32\txedx.dll
c:\windows\system32\uawjd.dll
c:\windows\system32\uaykc.dll
c:\windows\system32\uctqm.dat
c:\windows\system32\ugydc.dll
c:\windows\system32\uhogt.dll
c:\windows\system32\uhwqa.dll
c:\windows\system32\uivpp.dll
c:\windows\system32\uktpm.dll
c:\windows\system32\unqnb.dll
c:\windows\system32\uocuq.dll
c:\windows\system32\uqqsb.dll
c:\windows\system32\urcvq.dll
c:\windows\system32\uryaz.dll
c:\windows\system32\uvafl.dll
c:\windows\system32\vargx.dll
c:\windows\system32\vaufw.dll
c:\windows\system32\vbdcz.dll
c:\windows\system32\vcbro.dll
c:\windows\system32\vgcde.dll
c:\windows\system32\vhnte.dll
c:\windows\system32\vjeli.dll
c:\windows\system32\vlpvp.dll
c:\windows\system32\vogbt.dll
c:\windows\system32\vpvsu.dll
c:\windows\system32\vqlzu.dll
c:\windows\system32\vraga.dll
c:\windows\system32\vrfve.dll
c:\windows\system32\vwxft.dll
c:\windows\system32\vxtcp.dll
c:\windows\system32\vxuwx.dll
c:\windows\system32\vynqp.dll
c:\windows\system32\wbdch.dll
c:\windows\system32\wbref.dll
c:\windows\system32\wdmuo.dll
c:\windows\system32\weily.dll
c:\windows\system32\wfebo.dll
c:\windows\system32\whkaf.dll
c:\windows\system32\whsof.dll
c:\windows\system32\wklyw.dll
c:\windows\system32\wlxhh.dll
c:\windows\system32\wmndq.dat
c:\windows\system32\wofnt.dat
c:\windows\system32\wonrj.dat
c:\windows\system32\wvfir.dll
c:\windows\system32\wxtko.dll
c:\windows\system32\xaqqw.dll
c:\windows\system32\xdmqs.dll
c:\windows\system32\xgkpa.dll
c:\windows\system32\xhpox.dat
c:\windows\system32\xicmz.dat
c:\windows\system32\xtlqe.dll
c:\windows\system32\xvpgn.dll
c:\windows\system32\xzwmi.dat
c:\windows\system32\yjtqm.dll
c:\windows\system32\ylfcm.dll
c:\windows\system32\ynyjr.dll
c:\windows\system32\yrhjo.dll
c:\windows\system32\yxjfk.dll
c:\windows\system32\zaguz.dat
c:\windows\system32\zbrly.dll
c:\windows\system32\zlfkg.dll
c:\windows\system32\zltaz.dll
c:\windows\system32\zxevl.dll
c:\windows\twuss.dat
c:\windows\ukqhy.dat
c:\windows\uzjcr.dat
c:\windows\veimp.dat
c:\windows\vnrzr.dat
c:\windows\wfhum.dat
c:\windows\wrqvi.dat
c:\windows\xoevl.dat
c:\windows\xoyay.dat
c:\windows\ydasc.dat
c:\windows\zcfzk.dat

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Service_sysrest.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-07-13 bis 2009-08-13  ))))))))))))))))))))))))))))))
.

2009-08-13 11:09 . 2008-04-14 08:42	211968	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\EPSON\EPSON SX100 Series\Language\0407.E_DI0EEE.DLL
2009-08-12 13:12 . 2009-08-12 13:12	--------	d-----w-	c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Foxit
2009-08-12 13:12 . 2009-08-12 13:12	--------	d-----w-	c:\programme\Foxit Software

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-13 11:59 . 2009-04-06 09:28	117760	----a-w-	c:\dokumente und einstellungen\grossmann\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-08-13 11:56 . 2009-04-06 09:27	--------	d-----w-	c:\programme\SUPERAntiSpyware
2009-08-12 08:01 . 2008-09-17 06:41	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2009-08-12 08:01 . 2009-04-06 10:38	3942047	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-11 06:27 . 2009-04-02 09:40	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-11 05:56 . 2008-03-24 11:43	--------	d-----w-	c:\programme\Mozilla Thunderbird
2009-08-03 11:36 . 2008-09-17 06:41	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2008-09-17 06:41	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-07-21 14:15 . 2008-10-29 10:54	--------	d-----w-	c:\programme\Trillian
2009-07-03 16:55 . 2005-04-27 14:41	915456	----a-w-	c:\windows\system32\wininet.dll
2009-07-01 12:04 . 2009-07-01 12:04	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Softland
2009-07-01 12:02 . 2009-07-01 12:02	--------	d-----w-	c:\programme\Softland
2009-06-30 12:21 . 2009-06-30 12:01	--------	d-----w-	c:\programme\Canon
2009-06-16 14:36 . 1979-12-31 23:00	81920	----a-w-	c:\windows\system32\fontsub.dll
2009-06-16 14:36 . 1979-12-31 23:00	119808	----a-w-	c:\windows\system32\t2embed.dll
2009-06-03 19:09 . 2003-05-30 07:00	1296896	----a-w-	c:\windows\system32\quartz.dll
2005-06-02 22:11 . 2005-06-02 22:11	11592	--sha-w-	c:\windows\fvwjm.dat
2005-07-08 10:49 . 2005-07-08 10:49	3567	--sha-w-	c:\windows\jumkl.dat
2005-06-15 02:28 . 2005-06-15 02:28	3567	--sha-w-	c:\windows\ojiwm.dat
2005-01-25 09:15 . 2005-01-25 09:15	3547	--sha-w-	c:\windows\system32\cdaxs.dat
2005-01-01 15:37 . 2005-01-01 15:37	11592	--sha-w-	c:\windows\system32\fdxek.dat
2005-01-23 03:53 . 2005-01-23 03:53	11592	--sha-w-	c:\windows\system32\glvut.dat
2007-04-05 10:10 . 2007-04-05 10:06	848	--sha-w-	c:\windows\system32\KGyGaAvL.sys
2008-09-12 06:03 . 2008-08-14 14:07	2985504	--sha-w-	c:\windows\system32\drivers\fidbox.dat
2008-09-12 06:03 . 2008-08-14 14:07	180256	--sha-w-	c:\windows\system32\drivers\fidbox2.dat
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPIControl.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AttuneClientEngine
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpl32ver
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Horny_de
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MemoryMeter
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msbb
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nscntrl
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-ftsh10
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-gays33
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd102
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd12
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd207
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd224
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd438
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd465
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-stnd520
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen247
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen321
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen98
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\od-teen99
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power Scan
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SafeSearch
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMrhccf3j0el6r
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinAntispyware2008

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Sophos Message Router"=2 (0x2)
"Sophos Agent"=2 (0x2)
"sdCoreService"=3 (0x3)
"sdAuxService"=3 (0x3)
"MDM"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"AVP"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [23.03.2009 14:07 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [23.03.2009 14:07 74480]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.04.2009 11:40 108289]
R2 CAPI20;Eumex 404PC;c:\windows\system32\drivers\Capi20.sys [09.08.2002 10:51 237872]
R2 DETEWECP;Telekom CapiPort;c:\windows\system32\drivers\DETEWECP.SYS [18.09.2001 16:46 38480]
S3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [23.03.2009 14:07 7408]
S4 FWIEMQ;FWIEMQ;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\FWIEMQ.exe [?]
S4 PWCUH;PWCUH;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\PWCUH.exe [?]
S4 TXVJAP;TXVJAP;c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe --> c:\dokume~1\GROSSM~1\LOKALE~1\Temp\TXVJAP.exe [?]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SASDIFSV

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-sws - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &Google-Suche
IE: &Ins Deutsche übersetzen
IE: Im Cache gespeicherte Seite
IE: Verweisseiten
IE: Ähnliche Seiten
TCP: {8DED008E-B5BB-497C-AC89-FD5C0474AD0E} = 194.25.2.129
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\grossmann\Anwendungsdaten\Mozilla\Firefox\Profiles\qerlegu3.Standard-Benutzer\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-13 16:55
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Enum\LPTENUM\KyoceraFS-920\4&14ab428d&0&LPT1.4]
@Denied: (C D) (Everyone)
"DeviceDesc"="Kyocera FS-920"
"LocationInformation"="LPT1.4"
"Capabilities"=dword:00000040
"ConfigFlags"=dword:00000000
"HardwareID"=multi:"LPTENUM\\KyoceraFS-9205AA3\00KyoceraFS-9205AA3\00\00"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(600)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\programme\Nikon\NkView\MLCamView.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-08-13 17:10 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2009-08-13 15:10

Vor Suchlauf: 1.668.992.512 Bytes frei
Nach Suchlauf: 1.859.770.880 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

506	--- E O F ---	2009-07-29 11:06

kira · 14.08.2009, 10:45

Hallo und Herzlich Willkommen!

So wie es aussieht, das System extrem verseucht. Eine Säuberung ist sehr aufwendig. Es ist nicht sicher, ob es vollständig gelingt dies zu säubern und ob es danach auch wieder einwandfrei läuft. Dir eine Menge Zeit und Ärger zu ersparen (nicht wochenlang herumbasteln, und dann festzustellen, dass es doch nicht geht), mache eine Datensicherung der für dich wichtigen persönlichen Dateien (aber vor dem zurückspielen zur Vorsicht kannst du dein System mit ein paar - Kostenlose Online Scanner - Anleitungen - prüfen) und setze dein System neu auf.
Tipps: leitung: Neuaufsetzen des Systems + Absicherung

gruß
Coverflow

Hal · 14.08.2009, 10:55

Na, das nenn' ich doch mal prompte Bedienung. Eine ähnliche Antwort habe ich erwartet.

Um ganz ehrlich zu sein, Coverflow, ich gehöre zu den gefühlten 90% die lieber den unsicheren und zeitaufwendigeren Weg der Bereinigung gehen. An mir soll es also nicht liegen.

Ich habe aber vollstes Verständnis dafür, wenn DIR das zu aufwendig ist. Ist ja nicht so, dass ich in einem kostenlosen Support-Forum auch noch Ansprüche stelle.

Falls du die Mühen nicht scheust, lass es mich wissen und ich plane die nächsten 2 Wochen für Scans ein.

- Hal.

kira · 14.08.2009, 22:01

Wir können es versuchen, aber ohne Garantie! Die einzige Voraussetzung ist lediglich, dass dein System auch `mitspielt`...

1.
Malwarebytes' Anti-Malware: "No action taken."? - Funde nicht löschen lassen?

2.
- Leere bitte alle Quarantäne Ordner (Antivirus bzw Anti-Spy-Programm etc)

- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

3.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

- also lade Dir Gmer herunter und entpacke es auf deinen Desktop
- starte gmer.exe
- [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
- bitte nichts am Pc machen während der Scan läuft!
- klicke auf "Scan", um das Tool zu starten
- wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
- mit "Ok" wird GMER beendet.
- das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Achtung!:
Wenn Gmer nicht ausgeführt werden kann (ein Rootkit kann es verhindern):
versuche gmer.exe umbenennen und dann ausführen
Wähle eine beliebige Dateiname, die Endung soll *.com sein!

4.
Lade und installiere das Tool RootRepeal herunter

- setze einen Hacken bei: "Drivers", "Stealth Objects" und "Hidden Services" dann klick auf "OK"
- nach der Scan, klick auf "Save Report"
- speichere das Logfile als RootRepeal.txt auf dem Desktop und Kopiere den Inhalt hier in den Thread
Achtung!:
Wenn RootRepeal nicht ausgeführt werden kann (ein Rootkit kann es verhindern):
versuche rootrepeal.exe umbenennen und dann ausführen
Wähle eine beliebige Dateiname, die Endung soll *.com sein!

5.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

Hal · 16.08.2009, 15:38

Sorry für die späte Rückmeldung, ich habe am Wochenende mit der Family einen Kurzurlaub gemacht.

Was MBAM betrifft, die Funde habe ich löschen lassen. Ich habe erst das Log erstellen lassen, danach die Funde gelöscht (sehr schlau, ich weiß

). Wenn du möchtest, kann ich es aber nochmal durchlaufen lassen.

Alles Weitere dann morgen.

- Hal.

Hal · 17.08.2009, 14:24

MBAM-Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.40
Database version: 2551
Windows 5.1.2600 Service Pack 3

17.08.2009 11:46:18
mbam-log-2009-08-17 (11-46-18).txt

Scan type: Full Scan (C:\|)
Objects scanned: 194508
Time elapsed: 3 hour(s), 0 minute(s), 11 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Gmer-Log:

Code:

ATTFilter

GMER 1.0.15.15020 [lwvoje17.exe] - http://www.gmer.net
Rootkit scan 2009-08-17 14:56:12
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT            F8BBAF26                  ZwCreateKey
SSDT            F8BBAF1C                  ZwCreateThread
SSDT            F8BBAF2B                  ZwDeleteKey
SSDT            F8BBAF35                  ZwDeleteValueKey
SSDT            F8BBAF3A                  ZwLoadKey
SSDT            F8BBAF08                  ZwOpenProcess
SSDT            F8BBAF0D                  ZwOpenThread
SSDT            F8BBAF44                  ZwReplaceKey
SSDT            F8BBAF3F                  ZwRestoreKey
SSDT            F8BBAF30                  ZwSetValueKey
SSDT            F8BBAF17                  ZwTerminateProcess

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

RootRepeal bricht mit einer Exception-Fehlermeldung ab. Steht auch im Crash-Log:

Code:

ATTFilter

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000094
Exception Address: 0x004eca19

Wenn ich der RootRepeal.exe einen Zufallsnamen gebe und dann nochmal starte, kommt die Fehlermeldung "Could not load driver (0xc0000035)".

Kaspersky zickt rum. Ich starte den Scanner, akzeptiere die Lizenzbedingungen, danach sagt mir der IE, dass die Seite das Add-On "Kaspersky Online Scanner" installieren möchte. Ich klicke in die entsprechende Zeile, dann auf "Dieses Add-On für alle Benutzer des Computers installieren", und lande dann wieder auf der Seite mit den Lizenzbedingungen, dieses Mal aber ohne "Akzeptieren"-Button, sprich: Endstation.

Soll ich einen anderen Online-Scanner ausprobieren?

- Hal.

sysrest.sys (Rootkit.Agent) von MBAM gefunden

Plagegeister aller Art und deren Bekämpfung: sysrest.sys (Rootkit.Agent) von MBAM gefunden