Problem beim Scannen

dome17 · 31.10.2009, 21:00

guten abend,

endlich hat es mal geklappt

habe diesen log nur gefunden
hoffe das ist der richtige

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************
******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_nvata.sys
Service Name: ---
Module Base: B5DC7000
Module End: B5DE1000
Hidden: Yes

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS
Service Name: ---
Module Base: BADE8000
Module End: BADEA000
Hidden: Yes

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
Hidden files/folders:
Object: D:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: D:\System Volume Information\tracking.log
Status: Access denied

Object: D:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied

Object: C:\Dokumente und Einstellungen\dome.DOME-7705E5FC68\Eigene Dateien\ICQ\407737737\ReceivedFiles\409626065 »?????¢s???«
Status: Hidden

Object: C:\System Volume Information\MountPointManagerRemoteDatabase
Status: Access denied

Object: C:\System Volume Information\tracking.log
Status: Access denied

Object: C:\System Volume Information\_restore{B8F7E53B-6406-4BFD-8298-32D1497D7A5D}
Status: Access denied

Object: C:\System Volume Information\_restore{BA3EEF0E-5B44-43B8-BC0D-F24F75B08B22}
Status: Access denied

hoffe du kannst mir jetzt weiter helfen

Acid303 · 31.10.2009, 21:29

Hallo dome

Unerwünschter Gast anwesend.

Anleitung Avenger (by swandog46)

Lade dir das Tool File-Upload.net - Hopsassa.exe und speichere es auf dem Desktop: SCRIPT NUR MIT KOMPLETTEN PFADNAMEN

* Doppelklick auf das Avenger-Symbol

* Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

files to delete: 
C:\WINXP\system32\drivers\EagleNT.sys

drivers to delete: 
EagleNT

* Schliesse nun alle Programme undr Browse-Fenster

* Um den Avenger zu starten klicke auf -> Execute
* Dann bestätigen mit "Yes" das der Rechner neu startet

* Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

* Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Gruß

Acid

dome17 · 31.10.2009, 21:52

kam folgendes bei raus

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINXP\system32\drivers\EagleNT.sys" not found!
Deletion of file "C:\WINXP\system32\drivers\EagleNT.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Driver "EagleNT" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Acid303 · 31.10.2009, 22:27

Hallo dome

Das ist doch schon mal was.

Probieren wirs jetzt nochmal mit

Bevor mit GMER gescant werden kann müssen erst einige Dinge erledigt werden:

Alle Scanner gegen Viren, Spyware und sonstiges müssen deaktiviert werden
Alle Netzwerk- und Internetverbindungen trennen (auch WLAN)
Beim Scan nichts am Rechner machen
Nach dem Scan den Rechner neustarten

Der GMER Scan:

* GMER auf den Desktop herunter laden.
* Gmer ist geeignet für => NT/W2K/XP/VISTA.
* Alle geöffneten Programme schließen (auch den Browser) Hintergrundprogramme nach Möglichkeit beenden
* Gmer.exe starten
* Vista-User müssen das Programm als Administrator starten
* Den Scan mit "Scan" starten. Nichts am Rechner machen während der Scan läuft.
* Wenn der Scan fertig ist auf "Copy" klicken um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Das Log entweder direkt als Antwort posten oder als Textdatei auf den Desktop speichern falls erst der Neustart durchgeführt wird.

Falls sich ein Fenster mit folgender Warnung öffnet:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.

Alle Scanner unbedingt einschalten bevor eine Internetverbindung hergestellt wird!

Gruß

Acid

dome17 · 01.11.2009, 11:26

Scan lief gut durch...
nach dem neustart fand ich den log hier

GMER 1.0.15.15163 - GMER - Rootkit Detector and Remover
Rootkit scan 2009-11-01 11:24:57
Windows 5.1.2600 Service Pack 3
Running: iphfnv0q.exe; Driver: C:\DOKUME~1\DOME~1.DOM\LOKALE~1\Temp\kxwiraow.sys

---- System - GMER 1.0.15 ----

SSDT BAEA8896 ZwCreateKey
SSDT BAEA888C ZwCreateThread
SSDT BAEA889B ZwDeleteKey
SSDT BAEA88A5 ZwDeleteValueKey
SSDT BAEA88AA ZwLoadKey
SSDT BAEA8878 ZwOpenProcess
SSDT BAEA887D ZwOpenThread
SSDT BAEA88B4 ZwReplaceKey
SSDT BAEA88AF ZwRestoreKey
SSDT BAEA88A0 ZwSetValueKey
SSDT BAEA8887 ZwTerminateProcess

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINXP\Explorer.EXE[1752] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Acid303 · 01.11.2009, 16:55

Hallo dome

Versuche jetzt bitte ob du deinen Rechner mit Malwarebytes scannen kannst (vorher updaten). Vor dem Scan alle externen Festplatten und USB-Sticks an den Rechner anschließen, Komplett Scan. Danch noch http://www.trojaner-board.de/51871-a...tispyware.html. Beide logs posten.

Gruß

Acid

dome17 · 02.11.2009, 14:32

geht leider beides nicht..
es hängt sich wieder auf

noch ne idee?

Acid303 · 02.11.2009, 18:31

Hallo dome

Bitte deinstalliere beide Programme und lösche auch die beiden setup.exe. Danach neu runter laden aber diesmal mit rechtsklick => Ziel speichern unter => smss.exe (MBAM) und blubb.exe (SAS). Beide bitte direkt auf den Desktop laden, nicht in ein Verzeichnis. Installieren, updaten, funktionierts dann?

Gruß

Acid

dome17 · 06.11.2009, 15:09

geht leider auch so nicht
hängt sich immer noch auf

noch ne idee?
bin langsam am verzweifeln ^^

Acid303 · 06.11.2009, 16:51

Hallo dome

Lasse RSIT nochmal laufen und erstelle neue logs. Beide bitte als Anhang an deine Antwort.

Gruß

Acid

dome17 · 06.11.2009, 20:22

hier sind die beiden logs

Acid303 · 07.11.2009, 02:54

Hallo dome

Deinstalliere

Code:

ATTFilter

AskToolbar
Google Toolbar

Starte dann HJT => Do a System Scan only => fixe folgende Einträge

Code:

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

Gruß

Acid

dome17 · 07.11.2009, 10:39

Erledigit, und nun?

Acid303 · 07.11.2009, 17:08

Versuche erneut ob du Scans durchführen kannst (Avira, MBAM und SAS). Versuche es gegebenenfalls auch mal im Abgesicherten Modus von Windows.

Gruß

Acid

dome17 · 08.11.2009, 12:37

Also es funktoniert immer noch nicht
hab es jetzt mit den 3 versucht
und auch im abgesicherten modus
klappt es leider nicht...

noch ne idee?

Problem beim Scannen

Log-Analyse und Auswertung: Problem beim Scannen