Hallo,

sodele, reihe mich auch mal unter den Betroffenen des (neuen?) Google Fehlverhaltens unter WindowsXP ein. Seit knapp 2 Tagen verhält sich Google auf meinem Hauptrechner enorm seltsam. Jeder 2te angeklickte Link leitet mich auf eine dieser Seiten weiter (kopiert aus http://www.trojaner-board.de/80679-g...ochu-spat.html dieser Topic):

h**p://hochu-spat.com (so hat es angefangen)
h**p://widgetlibrarypieces.com (derzeit am häufigsten)
h**p://scour.com
h**p://searching4all.com
h**p://www.popeo.info
h**p://bcczzoot.com
h**p://widgetlibrarypieces.com
h**p://thewidgetautoparts.com

Nebenher ist das System megamäßig beschäftigt und friert nach einiger Zeit auch komplett ein, so das nur noch ein reset hilft. Über den ProzessMonitor konnte ich herausfinden, das wärend dieser Phase massive Schreibvorgänge im MBR sowie der Konfiguration des Netzwerkadapters geschehen. Ebenso führt das Starten von Firefox zu einem schwall an nicht erklärbaren Systemereignissen.

Da die Festplatte erst von ende Oktober ist, habe ich sozusagend noch die alte Platte mit dem damaligen Windows drauf.

Aber der Reihe nach.

Als erstes wurden die "bekannten" Programme von mir ausgeführt. Avira meldete gar nix, Spybot ebensowenig. In der zwischenzeit hatte sich anscheinend das beschäftigte System im Hintergrund hilfe heruntergeladen, denn es geisterte auf einmal eine a, b sowie c.exe und eine msa.exe herum.
Nächster Schritt war das Ausführen von nod32, welches aus gleich diese 4 Dateien erkannt und gelöscht hat, ansonsten aber keine Funde gemacht wurden. Weitere Scanner die ausgeführt wurden blieben auch Ergebnislos, unter anderem a-squared free, fsecure blacklight, anti malware sowie super antispyware. Nichts wurde gefunden, trotzdem bliebt das seltsame Verhalten von Google und auch die Systemauslastung bis hin zum Freeze.

Der nächste Gedankengang war daraufhin von der alten Platte einfach die C Partition auf die neue Platte zu kopieren. Gesagt, mit Partition Magic getan.

Das frisch "zurückkopierte" Originalsystem (welches auch definitiv sauber ist) lief dann auch beim ersten Start sehr sauber durch. Nach dem 2ten bootvorgang war dann allerdings die Freude zuende, denn alles war wieder beim alten. Der erste (eventuell konfuse) Gedankengang war, das irgendwas in den System Volume Information der anderen Partitionen stecken könnte, woraufhin ich diese entsorgt habe, und die Prozedur mit Partition Magic sowie zurückkopieren des funktionalen Windows wiederholt habe. Aber erneut trat nach dem 2ten booten das seltsame Verhalten auf.

An dieser Stelle habe ich nen verquerten Gedankengang verfolgt, und auf Partition C dateien gesucht in welchen die oben genannten Linknamen vorkamen. Das System wurde fündig, und zwar in einer java scriptdatei welche sich in einem "helper" useraccount befunden hat. Leider kann ich den genauen Namen des Users nicht wiedergeben, hatte mir den ich den 20 Stunden Problembehebungsversuchen gestern dann doch nicht merken können.

Nichtsdestotrotz half natürlich nicht der banale versuch dieses Konto zu löschen, nach jedem Neustart hat das System nach kurzer zeit den verseuchten Zustand wieder hergestellt (scanversuche mit den genannten malwarescannern zwischendurch waren immer ergebnislos).

Bin dann hier in dem Forum gelandet (war bisher nur passiver gelegenheitsleser), und habe gesehen das mehr leute das Problem zu haben scheinen. Bin dabei auch auf den tip mit GMER gestoßen.

Gmer selber will leider nicht laufen, nach wenigen scansekunden bricht es mit einem schweren Fehler ab. Allerdings habe ich von GMER die mbr.exe heruntergeladen und damit getestet. Und siehe da, es hockt etwas im MBR was da nicht hingehört:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x892c56d0
\Driver\atapi -> 0x8a1dcf00
NDIS: NVIDIA nForce 10/100/1000 Mbps Ethernet -> SendCompleteHandler -> 0x88cd10d0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !

Gut, da das Windows selber schon wieder kompromitiert war, war der Plan folgender:

System erneut von der Fehlerfreien alten Festplatte erneut auf die neue Platte aufspielen, Windows nicht starten, dafür von der WinXP SetupCD booten und fixmbr ausführen.

Dieses habe ich genauso durchgeführt, und siehe da, das Firefox sowie der Internet Explorer verhalten sich bisher wieder normal!

Allerdings funktioniert GMER immer noch nicht, und mbr.exe zeigt jetzt folgendes an:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A315A50]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8a315a50
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
Use "Recovery Console" command "fixmbr" to clear infection !

Es scheint also so als wenn das fixmbr zwar das Problem gelöst bzw. der Infektion den Stamm lädiert hat, trotzdem aber noch Reste im MBR hängen.

Lange Rede, kurzer sinn:
Wie bekomme ich den Müll jetzt komplett aus dem MBR, ein erneutes fixmbr, fdisk/mbr oder gar mbr.exe -f bringen nix, der Zustand wie zuletzt von mbr gemeldet bleibt der gleiche.

An dieser Stelle hoffe ich auf Eure Hilfe wie ich meinen MBR jetzt wirklich in einen komplett sauberen Zustand zurückversetzen kann, und vielleicht konnte ich ja den einen oder anderen Anhaltspunkt liefern um anderen Leuten (scheint ja zur Zeit wirklich stark vermehrt aufzutreten) helfen zu können.

Grüße
Andy

Hallo,

bräuchte jetzt evtl. doch mal die Hilfe von nem Spezialisten für sowas.

Ich hatte jetzt gestern - gelinde gesagt - gestrichen die Nase voll von dem Mist und hab das System neu aufgesetzt.

Zuerst hab ich alle Partitionen entsorgt, dann mit killmbr.exe den MBR völlig plattgemacht.

Als nächstes dann via XPSP2 SetupCD (original CD, nix selber zusammengebranntes mit eigenen Treibern oder so) Windows XP komplett frisch installiert. Treiber für Mainboard und Grafikkarte von den originalen Setupdatenträgern installiert, WinXP SP3 sowie Firefox von einem USB-Stick installiert. Dann mit dem Internet verbunden, Windoof update durchlaufen lassen, danach noch das aktuelleste Avira runtergeladen und installiert.

Nach dem nächsten Neustart dann GMER sowie mbr.exe von GMER runtergeladen.

Das Ergebnis ist allerdings ernüchternd, mbr.exe meldet folgendes:

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !

via mbr -t :

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pc
iide.sys
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !

das Log von Gmer:

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-12-25 10:44:27
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT BA7DD246 ZwCreateKey
SSDT BA7DD23C ZwCreateThread
SSDT BA7DD24B ZwDeleteKey
SSDT BA7DD255 ZwDeleteValueKey
SSDT BA7DD25A ZwLoadKey
SSDT BA7DD228 ZwOpenProcess
SSDT BA7DD22D ZwOpenThread
SSDT BA7DD264 ZwReplaceKey
SSDT BA7DD25F ZwRestoreKey
SSDT BA7DD250 ZwSetValueKey
SSDT BA7DD237 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\user01\LOKALE~1\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. !

---- EOF - GMER 1.0.14 ----

Prinzipiell würde ich jetzt vermuten das - trotz der Benutzung von killmbr.exe - ein verwaister müllrest irgendwo im mbr hockt. Ich hab jetzt mit mbr.exe -f probiert, keine Änderung. Dann über die XP SetupCD fixmbr+ fixboot ausgeführt, hat allerdings auch nix an der Situation geändert.

Hat jemand ne Idee was ich jetzt mit der Situation anfangen soll, habe ich jetzt noch ein Problem oder nicht und wie bekomme ich den MBR jetzt endgültig sauber?

Im Vorraus für eine Antwort dankende Grüße
Andy

Hallo Hawky,
vorab...ich dutze dich mal, wenn's dir Recht ist.
Ich selbst kann dir nicht weiter helfen, da ich kein SPezialist bin und ich mich so weit nicht mit Computern auskenne. Ich bin allerdings auf deinen Thread gestoßen und er hat mir den ersten Ansatzpunkt für mein Problem gegeben. Denn so wie es aussieht, liegt bei mir ein ähnliches, wenn nicht sogar das gleiche vor.
Und zwar werde ich seit 2 Tagen ab und an von Google oder beim anklicken von Links auf teils sehr verschiedene Seiten umgeleitet.
Diese hier

Zitat:

Zitat von Hawky

h**p://hochu-spat.com (so hat es angefangen)
h**p://widgetlibrarypieces.com (derzeit am häufigsten)
h**p://scour.com
h**p://searching4all.com
h**p://www.popeo.info
h**p://bcczzoot.com
h**p://widgetlibrarypieces.com
h**p://thewidgetautoparts.com

sehe ich im Tray stehen, wenn die Seite lädt, lande aber auf anderen Seiten.
Ausserdem bekomme ich beim Abspielen von Videos in Youtube, bei Filmen(über winamp wiedergegeben - nur über winamp versucht, wie es sich bei anderen Programmen verhält kann ich nicht sagen) und beim Spielen von Call of Duty MW II nach einiger Zeit Freezes. Der Sound der letzten zwei Sekunden wiederholt sich, der Cursor lässt sich bewegen, es hilft allerdings nichts ausser Reset. Ich hab gegooglet und gesucht. Anfangs bin ich auf Hardwarethreads gestoßen. Meine Graka, der CPU oder das Netzteil waren aber alle in Ordnung. Über das merkwürdige Weiterleiten und das Stichwort "thewidgetautoparts" bin ich auf deinen Thread gestoßen. Ich habe den PC mit ClamWinAntivirus scannen lassen. Dann habe ich GMER und die mbr.exe drüber laufen lassen. Ich kann damit leider nicht viel anfangen und wäre dir sehr verbunden wenn du mir unter die Arme greifen könntest.

Greez
Marcel_

Hallo,

nun, ohne jetzt komisch zu klingen wollen solltest du dennoch deine eigene Topic hier eröffnen, schlichtweg weil sich Systeminfektionen auf jedem Rechner etwas anders verhalten und unterschiedlich weit fortgeschritten sind.

Im Prinzip würde ich vorschlagen das du in dieser Topic gleich die Ergebnisse der Standard Tests durcharbeitest und einfügst, damit man dir entsprechend des Infektionsstatus helfen kann.

Nun zum Status meines Falles:

Ich habe jetzt gestern abend noch Tabula Rasa gemacht und via den WD-Tools die komplette Platte nochmal mit "zeros and ones" überschrieben (intensiv, hat bei den 500gb satte 2 Stunden gedauert)

Danach Windows Setup gestartet, primäre Partition angelegt (Festplatte wurde als Fabrikneu angezeigt), formatiert (nicht quick) und dann vollständig durchinstalliert. Nachdem Windows dann gestartet war USB-Stick rein (den Stick hab ich gestern noch an 2 sauberen Systemen getestet, alles i.o.), mbr.exe das erste mal durchlaufen lassen. Bei beiden Tests war alles 100% sauber (mbr.exe sowie mbr.exe -t [wobei ich gerne mal wissen würde wofür der -t switch überhaubt zuständig ist]).

Danach SP3 vom Stick installiert, neustart, ans Netzwerk angeschlossen. Als nächstes Firefox vom Stick installiert sowie nebenbei die Mainboardtreiber von der original CD, Festplatte via Datenträgerverwaltung zuende Partitioniert und Avira in der aktuellsten Version installiert.

Neustart, mbr.exe wieder ausgeführt, das Ergebnis:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys
kernel: MBR read successfully
user & kernel MBR OK
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !

Da ich das mbr. exe erst von diesem Forum hier kenne wüßte ich jetzt gerne was ich davon halten soll, weil ich das schwer einschätzen kann wo auf einmal der malicious code sowie das pe file herkommt, wenn vorher alles sauber war und lediglich die oben genannten Punkte abgearbeitet wurden.

Ich weiß, es sind Weihnachtstage und wenig Leute werden hier reingucken, aber es geht mir ja nur noch um die Information was ich von den erneuten Erkenntnissen von mbr.exe halten soll. Eine Infektion schließe ich an sich aus, ich wüßte nicht wo etwas jetzt noch herkommen soll, ebenso bin ich verwundert was mbr.exe wo gefunden haben will obwohl ich bisher nur die o.g. Schritte ausgeführt habe.

Über eine Antwort würde ich mich freuen, vielleicht mache ich mir jetzt nur noch ganz umsonst Sorgen und alles ist soweit in Ordnung.

Grüße
Andy