Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Werd Rootkit nicht mehr los

Werd Rootkit nicht mehr los


Plagegeister aller Art und deren Bekämpfung: Werd Rootkit nicht mehr los

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.05.2010, 13:26   #1
Hecktro
 
Werd Rootkit nicht mehr los - Standard

Werd Rootkit nicht mehr los


Ich weiß wircklich nicht mehr was ich machen soll, ich habe schon alle möglichen Virenscanner, Rootkit Scanner etc installiert, aber ich schaffe es einfach nicht das Rootkit zu löschen oder zumindest in die Quarantäne zu verschieben. Als ich versucht habe mit dem Programm "gmer" zu scannen bekam ich einen Bluescreen und das system wurde neugestartet. Ich habe gehört das es an dem Rootkit liegen soll. Sollte ich versuchen, die Datei manuell zu löschen bekomme ich den Fehler "Ein an das System angeschlossenes Gerät funktioniert nicht".


Hier einmal die log von Malwarebytes:


Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4119

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

20.05.2010 13:56:35
mbam-log-2010-05-20 (13-56-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 113428
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\Drivers\uefmfz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Kaspersky kann ihn auch nicht löschen oder verschieben. Er wird angezeigt als "rootkit.win32.bubnix.o"
Außerdem habe ich herausgefunden, dass das rootkit auch in der Registry hängt unter:
HKEY_LOCAL_MACHINE/SYSTEM/Controlset001/services bis Controlset004/services, was ich zudem auch nicht löschen kann.


HijackThis Log:

Zitat:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:10:02, on 20.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Windows\regedit.exe
C:\Users\Andreas\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: CRSICBZKXS - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\CRSICBZKXS.exe (file missing)
O23 - Service: NSQWZDVMU - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\NSQWZDVMU.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TGB - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\TGB.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VRGAVGLOSE - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\VRGAVGLOSE.exe (file missing)

--
End of file - 4624 bytes


Ich hoffe mir kann jemand helfen diesen Rootkit loszuwerden. Ich habe meinen Computer erst vor kuzem neu installiert und möchte dies in so kurzer Zeit nicht nochmal tun müssen..

mfg und danke für eure mühe

Alt 20.05.2010, 19:39   #2
Larusso
/// Selecta Jahrusso
 
Werd Rootkit nicht mehr los - Standard

Werd Rootkit nicht mehr los




Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite bitte folgendes ab.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\drivers\*.sys /90
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread


Schritt 2

Rootkit-Suche

Was sind Rootkits?

Einige Scans auf Dateien, Prozesse u2nd Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Bitte poste in Deiner nächsten Antwort
OTL.txt
Extra.txt
Gmer.txt
__________________

__________________
Antwort

Themen zu Werd Rootkit nicht mehr los
avg, avp, avp.exe, bho, bluescree, bluescreen, computer, desktop, explorer, fehler, firefox, hängt, local\temp, log, logfile, löschen, malwarebytes' anti-malware, mozilla, plug-in, programm, registry, rootkit, rundll, scan, software, superantispyware, system, tastatur, temp, vista


« Beide Browser kacken ab: HTML/Crypted.Gen | Trojaner TR/Fake.CX.172544, TR/Fake.bpp.174592, TR/buzus.ealr »


Ähnliche Themen: Werd Rootkit nicht mehr los


  1. Avast zeigt einmalig rootkit, bei jedem weiteren Scan nicht mehr.
    Log-Analyse und Auswertung - 09.12.2013 (5)
  2. Nav-link eingefangen und ich werd ihn nicht mehr los
    Plagegeister aller Art und deren Bekämpfung - 18.11.2013 (13)
  3. Rootkit / Echtzeitscanner lässt sich nicht mehr aktivieren
    Log-Analyse und Auswertung - 11.09.2012 (11)
  4. Bekomme das Rootkit.0access nicht mehr weg
    Log-Analyse und Auswertung - 03.08.2012 (2)
  5. Komme nicht mehr weiter - evtl. Rootkit, Avira kriegt ihn nicht weg
    Plagegeister aller Art und deren Bekämpfung - 12.07.2012 (3)
  6. Rootkit - win7 neu aufgesetzt - startet nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (1)
  7. Alle Festplatten bis auf C: auch in Verwaltung versteckt, Sophos nicht mehr installierbar, Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 07.01.2012 (20)
  8. Rootkit BOO/TDss.D Bekomme ich nicht mehr weg HELP
    Log-Analyse und Auswertung - 15.09.2011 (37)
  9. TR/Rootkit.Gen3 + TR/Trash.Gen: Internet geht nicht mehr
    Log-Analyse und Auswertung - 25.04.2011 (7)
  10. win32 rootkit gen - wie werd ich das Ding wieder los?
    Plagegeister aller Art und deren Bekämpfung - 09.01.2011 (4)
  11. Rootkit.Win32.TDSS.d - Komme nicht mehr weiter
    Plagegeister aller Art und deren Bekämpfung - 24.04.2010 (1)
  12. Virensoftware funktioniert nicht mehr ROOTKIT
    Log-Analyse und Auswertung - 18.01.2010 (2)
  13. Komme nicht mehr auf AntiVirus-Seiten, Rootkit-Dienst auf XP
    Plagegeister aller Art und deren Bekämpfung - 28.06.2009 (15)
  14. gmer läuft nicht mehr durch - rootkit eingefangen?
    Log-Analyse und Auswertung - 06.05.2009 (1)
  15. Nach MS Antispywareentfernung werd ich google-hijacker nicht mehr los
    Log-Analyse und Auswertung - 11.03.2009 (6)
  16. ROOTKIT-Befall? PC startet WinXP nicht mehr richtig!
    Alles rund um Windows - 17.02.2009 (3)
  17. Hab seit 2 Tagen 2x rundll32.exe am laufen und werd sie nicht mehr los :)
    Mülltonne - 05.11.2008 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Werd Rootkit nicht mehr los - Ich weiß wircklich nicht mehr was ich machen soll, ich habe schon alle möglichen Virenscanner, Rootkit Scanner etc installiert, aber ich schaffe es einfach nicht das Rootkit zu löschen oder - Werd Rootkit nicht mehr los...
Archiv
Du betrachtest: Werd Rootkit nicht mehr los auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131