| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Tr/Rootkit.Gen auf meinem PcWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
17.06.2010, 13:47
| #1 |
 |  Tr/Rootkit.Gen auf meinem Pc hi, ich habe zuerst den CCleaner wie beschrieben angewendet und nach der 4ten fehlerbehebung wurden auser der erwähnten nicht löschbaren antivirdatei keine fehler mehr gefunden. anschliesend habe ich das combofixprogamm laufen lassen, hat glaube ich auch geklappt, aber es gab ein paar kleine probleme: -ich hab es nicht geschafft antivir komplett auszuschalten. der regenschirm in der taskleiste war zwar zugeklappt, aber ist nicht völlig verschwunden. die antivirprozesse mit dem taskmanager zu schliesen hat auch nicht funktioniert. - combofix hat aufgrund eines gefundenen rootkits und um laufwerkemulatorprozesse zu beenden mehrmals neugestartet. - nach diesen neustarts hat sich antivir wieder normal geöffnet und war deshalb aktiv, zusätzlich habe ich auch steam im autostart, was sich auch geöffnet hat. - als combofix den suchlauf gestartet hat(ich glaube nach dem dritten neutstart), öffnete sich ein antivirfenster mit einer trojanermeldung, das hab ich dann weggeklickt. und hier der log von combofix: Combofix Logfile: Code:
ATTFilter ComboFix 10-06-16.03 - *** 17.06.2010 14:30:40.1.1 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.654 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\cofi.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
c:\dokumente und einstellungen\All Users\Dokumente\Settings
c:\dokumente und einstellungen\***\Anwendungsdaten\Sky-Banners
c:\dokumente und einstellungen\***\Anwendungsdaten\Sky-Banners\skb\log.xml
c:\dokumente und einstellungen\***\Anwendungsdaten\Street-Ads
C:\feed.txt
c:\programme\$NtUninstallWTF1012$
c:\programme\$NtUninstallWTF1012$\elUninstall.exe
c:\windows\$NtUninstallMTF1011$
c:\windows\$NtUninstallMTF1011$\apUninstall.exe
c:\windows\system32\win.com
c:\windows\system32\hlp.dat . . . . Nicht in der Lage zu löschen
----- BITS: Eventuell infizierte Webseiten -----
hxxp://essentialcoonections.com
Infizierte Kopie von c:\windows\system32\userinit.exe wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\userinit.exe wurde wiederhergestellt
Infizierte Kopie von c:\windows\system32\ws2_32.dll wurde gefunden und desinfiziert
Kopie von - c:\windows\ServicePackFiles\i386\ws2_32.dll wurde wiederhergestellt
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_SSHNAS
((((((((((((((((((((((( Dateien erstellt von 2010-05-17 bis 2010-06-17 ))))))))))))))))))))))))))))))
.
2010-06-17 11:48 . 2010-06-17 11:48 -------- d-----w- c:\programme\CCleaner
2010-06-17 10:08 . 2010-06-17 10:08 -------- d-----w- C:\_OTL
2010-06-15 20:34 . 2010-06-15 20:34 -------- d-----w- C:\FOUND.009
2010-06-14 16:34 . 2010-06-14 16:34 -------- d-----w- c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-06-14 16:34 . 2010-04-29 10:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-06-14 16:34 . 2010-06-14 16:34 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-06-14 16:34 . 2010-06-14 16:34 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-06-14 16:34 . 2010-04-29 10:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-06-13 17:45 . 2010-06-13 17:45 -------- d-----r- c:\dokumente und einstellungen\LocalService\Eigene Dateien
2010-06-13 17:00 . 2008-04-14 02:23 26624 ----a-w- c:\windows\system32\stu2.exe
2010-06-13 16:59 . 2010-06-13 16:59 -------- d-----r- c:\dokumente und einstellungen\LocalService\Favoriten
2010-06-13 16:32 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-06-13 16:32 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-06-13 16:32 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-06-13 16:32 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-06-13 15:42 . 2010-06-13 15:42 -------- d-----w- c:\programme\IsoBuster
2010-06-09 08:45 . 2010-05-06 10:31 743424 ------w- c:\windows\system32\dllcache\iedvtool.dll
2010-06-06 12:22 . 2008-05-02 08:41 3493888 ---ha-w- c:\dokumente und einstellungen\***\Anwendungsdaten\U3\temp\Launchpad Removal.exe
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 10:31 . 2006-02-28 10:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:05 . 2006-02-28 10:00 1851392 ----a-w- c:\windows\system32\win32k.sys
2010-04-29 17:20 . 2006-02-28 10:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2010-04-29 17:20 . 2006-02-28 10:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2010-04-20 05:29 . 2006-02-28 10:00 285696 ----a-w- c:\windows\system32\atmfd.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\programme\mozilla firefox\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\programme\mozilla firefox\plugins\ssldivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 1044480 ----a-w- c:\programme\opera\program\plugins\libdivx.dll
2009-07-14 00:16 . 2009-07-14 00:16 200704 ----a-w- c:\programme\opera\program\plugins\ssldivx.dll
.
------- Sigcheck -------
[-] 2008-04-14 . 1AB997E656C3360BE5EAD080FA3384D4 . 580096 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
[7] 2008-04-14 . B0050CC5340E3A0760DD8B417FF7AEBD . 580096 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\user32.dll
[-] 2007-03-08 . 78785EFF8CB90CEC1862A4CCFD9A3C3A . 579584 . . [5.1.2600.3099] . . c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
[-] 2007-03-08 . 492E166CFD26A50FB9160DB536FF7D2B . 579072 . . [5.1.2600.3099] . . c:\windows\$NtServicePackUninstall$\user32.dll
[7] 2006-02-28 . 56785FD5236D7B22CF471A6DA9DB46D8 . 578560 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB890859$\user32.dll
[-] 2005-03-02 . 4C90159A69A5FD3EB39C71411F28FCFF . 578560 . . [5.1.2600.2622] . . c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
[-] 2005-03-02 . 3751D7CF0E0A113D84414992146BCE6A . 578560 . . [5.1.2600.2622] . . c:\windows\$NtUninstallKB925902$\user32.dll
[-] 2008-04-14 . A932898EC4A9CA38948B53E4AC723C83 . 19968 . . [5.1.2600.5512] . . c:\windows\system32\ws2help.dll
[7] 2008-04-14 . C7D8A0517CBF16B84F657DE87EBE9D4B . 19968 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ws2help.dll
[7] 2006-02-28 . B3ADA72D1E3E10A8F6430669DFC38ED0 . 19968 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ws2help.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2010-05-07 1238352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-01 7618560]
"nwiz"="nwiz.exe" [2006-06-01 1519616]
"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]
"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 86016]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 577536]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-04 149280]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
Ralink Wireless Utility.lnk - c:\programme\RALINK\Common\RaUI.exe [2007-11-20 618496]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.01.2010 14:37 108289]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNMp50.sys [28.11.2006 22:46 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;c:\windows\system32\drivers\PDNSp50.sys [28.11.2006 22:46 27072]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.11.2008 13:33 717296]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
TCP: {D8E8C55E-910B-4818-9D18-0C8D0817B098} = 192.168.223.23
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0ydk7qlp.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
---- FIREFOX Richtlinien ----
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
AddRemove-$NtUninstallMTF1011$ - c:\windows\$NtUninstallMTF1011$\apUninstall.exe
AddRemove-$NtUninstallWTF1012$ - c:\programme\$NtUninstallWTF1012$\elUninstall.exe
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-17 14:35
Windows 5.1.2600 Service Pack 3 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
- - - - - - - > 'winlogon.exe'(788)
c:\windows\system32\MPRAPI.dll
- - - - - - - > 'explorer.exe'(2536)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\RunDLL32.exe
c:\windows\SOUNDMAN.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-06-17 14:38:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2010-06-17 12:38
Vor Suchlauf: 12 Verzeichnis(se), 41.460.793.344 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 41.583.935.488 Bytes frei
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
C:\ = "Nicht erkanntes Betriebssystem auf Laufwerk C"
- - End Of File - - 223D8FF3A8733A9BAB00454F65F81939
|
|
| Themen zu Tr/Rootkit.Gen auf meinem Pc |
| antivir, einfach, falsche, firefox, funktioniert, heute, internet, kopieren, leute, meldungen, neustart, nichts, opera, probleme, prozesse, quarantäne, scan, seite, suchfunktion, taskmanager, tr/rootkit.gen, verdächtige, verschoben, werbung |
Hybrid-Darstellung
