Hallo allerseits,
Mein F-Prot hat, ohne dass ich mich an eine Handlung erinnern könnte die mich Malware ausgesetzt hätte oder irgendetwas an der Installation verändert hätte, nicht mehr updaten können. Auch wenn ich versucht habe zu scannen war F-Prot sofort fertig da es keine Datein zum scannen gefunden hat.
Ich habe daraufhin F-Prot neu installiert. Nach dem Neustart der auf die Installation folgt lief alles gut, aber ca 1 - 2 Minuten nach dem Neustart hat sich Windows ohne mein Zutun beendet und der PC hat neu gestartet. Danach war die F-Prot installation weg (Der Ordner, der Eintrag unter "Software", alle Verknüpfungen).
Ich habe das Problem dann ignoriert, da ich zu dem Zeitpunkt eher an einen Bug als an einen Virus dachte, und eine neue Festplatte bereits unterwegs war. Als ich aber F-Prot auf dem Brandneuen System installiert habe passierte genau das gleiche. Ich habe desshalb vermutet, dass sich mein neues System an meiner externen Festplatte neu infiziert hatte.
Ich habe dann rausgefunden, dass im F-Prot Forum andere bereits ähnliche Probleme gehabt hatten, aber dort hatte sich niemand mit einem Konkreten Lösungsansatz geäussert. Es wurde lediglich erwähnt, dass es sich um ein Rootkit handeln könnte. Ich habe dann mit Sophos Anti-Rootkit tasächlich 2 Dateien auf der externen gefunden, die dieses Tool nach seiner aussage desinfiziert hat. Diese Datein befanden sich in einem Ordner, den ich nicht selbst angelegt hatte: "8fe9865a7c248b9e48f07d65b0b79ba3", dadrin befinden sich 2 Subfolders mit den Namen "amd64" und "i386", auf die ich keinen Zugriff habe (Fehlermeldung: Zugriff verweigert) Die Ordner lassen sich auch von der Windows Ebene logischerweise nicht löschen ohne Zugriff.
Ich habe, da das Problem weiterhin bestand, erneut formatiert, ohne die externe anzuschließen. Das hat die Problematik nicht behoben.
Jetzt kommen die Ergebnisse der Tools die ich daraufhin habe drüberlaufen lassen, da ich aber ein ziemlicher Laie bin in dem Gebiet sagen mir die logs wenig.
hijackthis:
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:40:19, on 15.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\Me!\LOKALE~1\Temp\NTKQKRVC.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.winfuture.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.winfuture.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2CBE5EFF-D565-4278-A7EF-A76A455EA3E0}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - Unknown owner - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe (file missing)
O23 - Service: ICILDLLKJXF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\ICILDLLKJXF.exe
O23 - Service: NTKQKRVC - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\NTKQKRVC.exe
O23 - Service: NVNCOYV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Me!\LOKALE~1\Temp\NVNCOYV.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4250 bytes
|
RootKitReveal von Sysinternals:
Zitat:
HKLM\SECURITY\Policy\Secrets\SAC* 15.10.2009 16:59 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 15.10.2009 16:59 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\kl1\InData 15.10.2009 21:41 8 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\Temp\cch473.tmp 15.10.2009 21:40 32.00 KB Visible in Windows API, MFT, but not in directory index.
C:\WINDOWS\Temp\cch474.tmp 15.10.2009 21:40 32.00 KB Visible in Windows API, MFT, but not in directory index.
|
Avenger
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Completed script processing.
*******************
Finished! Terminate.
|
Habe mir auch mal die Trial Version von Kaspersky Anti-Virus gezogen, das Programm hat aber nichts gefunden, weder auf der Systemplatte noch auf der externen (die ich wieder angeschloßen habe, nachdem das abkoppeln ja nichts genützt hat).
Entschuldigt den Roman, bin dankbar um jeden Rat!
16.10.2009, 00:38
Baum-Darstellung