soooooo, endlich geschafft
Also meine Programme können auf jeden fall schon wieder aufs netz zugreifen... aber nach der reihe:
als allererstes erstmal vieeeeeelen lieben dank für die sehr detallierte beschreibung... wow... der hammer, da fühlt man sich auf dem board doch direkt willkommen...
so nun zum wesentlichen:
CCleaner zeigt beim normalen Scan nichts mehr an, bei der Registry immer zwei einträge:
Zitat:
ActiveX/COM Fehler LocalServer32\"%ProgramFiles%\Internet Explorer\iexplore.exe" -startmediumtab HKCR\CLSID\{D5E8041D-920F-45e9-B8FB-B1DEB82C6E5E}
Öffne mit Anwendung Problem "C:\Program Files\Internet Explorer\iexplore.exe" %1 HKCR\Applications\iexplore.exe\shell\open
|
zweites kann wie gesagt sein, weil ich keinen i-net explorer mehr aufm rechner hab.
Die erste Avenger Log zeigte folgendes:
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
Hidden driver "MSIVXserv.sys" found!
ImagePath: \systemroot\system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys
Driver disabled successfully.
Rootkit scan completed.
Completed script processing.
*******************
Finished! Terminate.
|
Beim zweiten Scan zeigte Avenger nichts meh an. Also keine Fehler gefunden.
Malwarebytes Log:
Zitat:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2551
Windows 6.0.6001 Service Pack 1
02.09.2009 19:20:47
mbam-log-2009-09-02 (19-20-44).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 546441
Laufzeit: 2 hour(s), 55 minute(s), 2 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 7
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\ColdWare (Malware.Trace) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Tcpip\Parameters\Interfaces\{33c1f737-455b-4616-bb55-fdc4860a3e5b}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.87,85.255.112.195 -> No action taken.
Infizierte Verzeichnisse:
C:\Windows\System32\drivers\downld (Trojan.Agent) -> No action taken.
Infizierte Dateien:
C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job (Trojan.FakeAlert) -> No action taken.
C:\Windows\System32\MSIVXcount (Trojan.Agent) -> No action taken.
C:\Windows\System32\MSIVXbbedpncdiwivyaidwcvhvekkhxakiadt.dll (Trojan.Agent) -> No action taken.
|
Bei
GMER hatte ich 3x einen Bluescreen, dann habe ich alle ersten Tests nochmal gemacht und dann lief es endlich durch. Gab mir aber keine Gelegenheit die Logfile zu sichern, da neu gestartet wurde um updates (windows) zu installieren.
GMER hat meines Erachtens aber auch nur 2 Fehler gefunden (findet er auch immernoch). Ganz am Anfang des Tests vor dem eigentlichen Scan. Das waren auch die einzigen beiden Roten Pfade nach dem kompletten Scan:
Zitat:
GMER 1.0.15.15077 [gmer.exe] - http://www.gmer.net
Rootkit quick scan 2009-09-03 03:49:40
Windows 6.0.6001 Service Pack 1
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs C33241F8
AttachedDevice \Driver\tdx \Device\Tcp bdftdif.sys
AttachedDevice \Driver\tdx \Device\Udp bdftdif.sys
---- Services - GMER 1.0.15 ----
Service system32\drivers\MSIVXfopdjuxwrbptqmepwtooxisttuvixvln.sys (*** hidden *** ) [DISABLED] MSIVXserv.sys <-- ROOTKIT !!!
Service C:\Windows\System32\Drivers\VDRV9000.SYS (*** hidden *** ) [SYSTEM] vdrv9000 <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
MBR gab folgendes aus:
Zitat:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
|
Ich hoffe das hilft Euch weiter...
03.09.2009, 02:51
Baum-Darstellung