Liebe Fachleute,

mein PC ist offenbar verseucht. Als ich auf einer Webshop-Seite war, alarmierte mich AVG und behauptete, alles abgeblockt zu haben. Hier die Funde von AVG:

Code: Alles auswählenAufklappen

ATTFilter

Residenten Schutz
Infektion;"Objekt";"Ergebnis";"Erkennungszeit";"Objekttyp";"Vorgang"
Trojaner: Downloader.Generic9.CHAU;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP752\A0170016.dll";"Objekt ist nicht verfügbar.";"09.07.2010, 19:50:44";"Datei";"C:\WINDOWS\Explorer.EXE"
Trojaner: Downloader.Generic9.CHAU;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP752\A0170016.dll";"In Virenquarantäne verschoben";"09.07.2010, 19:21:37";"Datei";"C:\Programme\Spyware Doctor\pctsSvc.exe"
Virus gefunden: JS/Agent;"c:\Dokumente und Einstellungen\Lutz P\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TTM06Z0B\s_commerce[1].js";"Objekt ist nicht verfügbar.";"07.07.2010, 17:15:12";"Datei";"C:\WINDOWS\Explorer.EXE"
Virus gefunden: JS/Agent;"c:\Dokumente und Einstellungen\Lutz P\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TTM06Z0B\s_commerce[1].js";"In Virenquarantäne verschoben";"07.07.2010, 17:14:36";"Datei";"C:\Programme\Internet Explorer\IEXPLORE.EXE"
Trojaner: Cryptic.AHC;"c:\System Volume Information\_restore{9AA07485-C5C2-44AD-B51D-AE99BEDF596B}\RP729\A0154124.exe";"In Virenquarantäne verschoben";"05.07.2010, 22:12:48";"Datei";"C:\Programme\Lavasoft\Ad-Aware\AAWService.exe"
         

Der anschließende Scan:

Code: Alles auswählenAufklappen

ATTFilter

"C:\RECYCLER\S-1-5-21-329068152-1960408961-839522115-1003\Dc7.dll";"Trojaner: Downloader.Generic9.CHAU";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7fc10cf1-4b355ea6:\sunos\Globales.class";"Trojaner: Java/Obfuscated.C";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7fc10cf1-4b355ea6";"Trojaner: Java/Obfuscated.C";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Twitters.class";"Trojaner: Java/Downloader.V";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Skypeqd.class";"Trojaner: Java/Downloader.W";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13:\quote\Mailvue.class";"Virus identifiziert: Exploit.Java";"In Virenquarantäne verschoben"
"C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\37\5203bee5-3b003c13";"Virus identifiziert: Exploit.Java";"In Virenquarantäne verschoben"
         

Ich dachte, damit wäre alles OK, aber weit gefehlt! Seitdem öffnen sich immer wieder mal Werbeseiten im IE und außerdem ist der Zugriff auf Windows Update blockiert. Eine Systemwiederherstellung geht ebenfalls nicht.

Ich habe daraufhin so ziemlich alles an Virenprogrammen und AntiSpyware versucht, was zu finden war. Jedes Programm hat was anderes gefunden - und angeblich auch beseitigt. Irgendeines dieser Programme hat dann den Winlogon-Eintrag der Registry gelöscht, woraufhin ich eine ganze Weile brauchte, um den Rechner überhaupt wieder zum Leben zu erwecken.

Nach Durchlesen und Ausführen Eurer Empfehlungen (CCleaner, malwarebytes usw.) wurden weitere Infizierungen entdeckt und behoben. Trotzdem bleibt das Problem.

Malwarebytes fand Folgendes:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4305

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12.07.2010 18:15:18
mbam-log-2010-07-12 (18-15-18).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 151921
Laufzeit: 5 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DbgMgr (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel\Homepage (Hijack.Homepage) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Lutz P\Anwendungsdaten\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
         

Seitdem findet das Programm keine neuen Infizierungen.

Das Log von GMER:
GMER Logfile:
GMER Logfile:
GMER Logfile:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-07-16 07:33:56
Windows 5.1.2600 Service Pack 3
Running: 784urpqy.exe; Driver: C:\Temp\pgtdapow.sys


---- System - GMER 1.0.15 ----

SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwCreateKey [0xF7844A1C]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                   ZwCreateProcess [0xF7859CDC]
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                   ZwCreateProcessEx [0xF7859ECE]
SSDT            BA292214                                                          ZwCreateThread
SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwDeleteKey [0xF7844C10]
SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwDeleteValueKey [0xF7844CB6]
SSDT            BA292232                                                          ZwLoadKey
SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwOpenKey [0xF784490C]
SSDT            BA292200                                                          ZwOpenProcess
SSDT            BA292205                                                          ZwOpenThread
SSDT            PCTCore.sys (PC Tools KDS Core Driver/PC Tools)                   ZwRenameKey [0xF7879D30]
SSDT            BA29223C                                                          ZwReplaceKey
SSDT            BA292237                                                          ZwRestoreKey
SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwSetValueKey [0xF7844E52]
SSDT            TfSysMon.sys (ThreatFire System Monitor/PC Tools)                 ZwTerminateProcess [0xF7846B30]

---- Kernel code sections - GMER 1.0.15 ----

.rsrc           C:\WINDOWS\system32\DRIVERS\ipsec.sys                             entry point in ".rsrc" section [0xAC64A614]

---- User code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\svchost.exe[1332] ole32.dll!CoCreateInstance  774D057E 5 Bytes  JMP 01A7000A 

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                            TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)
AttachedDevice  \Driver\Tcpip \Device\Ip                                          pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                         pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice  \Driver\Tcpip \Device\Udp                                         pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                       pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)
AttachedDevice  \FileSystem\Fastfat \Fat                                          fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice  \FileSystem\Fastfat \Fat                                          TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

Device           -> \Driver\atapi \Device\Harddisk0\DR0                           89E7DEC5

---- Services - GMER 1.0.15 ----

Service         C:\Programme\Microsoft (*** hidden *** )                          [DISABLED] MSSQLSERVER                                                   <-- ROOTKIT !!!
Service         C:\Programme\Microsoft (*** hidden *** )                          [DISABLED] SQLSERVERAGENT                                                <-- ROOTKIT !!!

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\DRIVERS\ipsec.sys                             suspicious modification
File            C:\WINDOWS\system32\drivers\atapi.sys                             suspicious modification

---- EOF - GMER 1.0.15 ----
         

--- --- ---

--- --- ---

--- --- ---


Tja, und jetzt (nein: eigentlich schon lange) bin ich mit meinem dürftigen PC-Latein am Ende. Könnt Ihr mir helfen? Ich habe einen anderen Thread in diesem Forum mit fast identischem Problem gesehen, wo Eure tolle Hilfe wohl geklappt hat.

Danke und viele Grüße,
Lutz

Du hast ein Rootkit im System! Mach bitte zuerts mal einen Vollscan mit aktuellem Malwarebytes.

Hallo cosinus,

ja, sowas Übles dachte ich mir schon. GMER lässt da ja auch kaum einen Zweifel zu. Allerdings hat es mir zwei SQL-Server-Einträge deaktiviert, sodass jetzt mein Datenbankprogramm nicht mehr läuft. Das muss ich möglichst bald wieder ändern.

Ich habe nun Malwarebytes aktualisiert und einen Vollscan durchführen lassen. Gefunden hat es zweimal Snadboy's Revelation. Ich glaube zwar nicht, dass hier der Übeltäter steckt, hab's aber trotzdem entfernen lassen:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4320

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16.07.2010 18:16:21
mbam-log-2010-07-16 (18-16-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 368080
Laufzeit: 1 Stunde(n), 17 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\SnadBoy's Revelation v2\Revelation.exe (HackTool.Snadboy) -> Quarantined and deleted successfully.
E:\Install\Revelation\SetupRevelationV2.exe (HackTool.SnadBoy) -> Quarantined and deleted successfully.
         

Dann habe ich einen 2. Vollscan im abgesicherten Modus ausgeführt - ohne gefundene Infizierungen.

Das Problem besteht nach wie vor. Watt nu?

Danke und viele Grüße,
Lutz

Ok, dann jetzt bitte Logs mit OTL.exe erstellen und posten. Du kannst beide Logs in eine zip packen und hier anhängen.

Kleines Erfolgserlebnis!

Ich habe jetzt mal die von GMER genannte Datei C:\WINDOWS\system32\DRIVERS\ipsec.sys gegen eine vermeintlich nicht-infizierte Version ausgetauscht. Seitdem öffnen sich keine Werbefenster mehr und ich habe Zugriff auf Windows Update - auch in der Google-Suche.

Das heißt zwar nicht, dass ich mich jetzt völlig abgesichert fühle, aber immerhin sehe ich das als kleinen Sieg gegen die Idioten, die offenbar sonst nichts zu tun haben, als solche Angriffe zu starten.

Trotzdem bleibt meine Frage, wie bekomme ich den Rechner wieder zuverlässig sauber?

Außerdem: Wie schütze ich mich möglich wirkungsvoll? AVG hat mich zwar gewarnt, konnte aber den Angriff letztlich nicht verhindern/bereinigen. Derzeit benutze ich:
- Windows Defender
- PCTools Spyware Doctor
- Avira AntiVir Personal

Das macht den Rechner nicht gerade zur Rakete. Ich weiß nicht, ob ich das langfristig so lassen will.

Welche Software wäre die beste Alternative?

Viele Grüße,
Lutz

PS: Ach so, jetzt sehe ich Deine Antwort. OK, Logs kommen...

Hallo cosinus und Co.!

hier die beiden OTL-Logdateien.

Lutz

Zitat:

Trotzdem bleibt meine Frage, wie bekomme ich den Rechner wieder zuverlässig sauber?

Schonmal vorweg, durch Bereinigung bekommst Du das nicht zuverlässig hin. Die Garantie nach Schädlingsbefall hast Du nur bei plattmachen => Malte J. Wetz : De - Vorgehensweise bei Vireninfektionen browse

Also gut, das leuchtet mir ein. Dann mal anders gefragt:

Wie schütze ich mich am besten vor solchen Angriffen? Wenn ich keinen Schutz habe, müsste ich ja alle Nas' lang meinen Rechner neu aufsetzen, sobald er sich seltsam verhält. (Oder sogar noch häufiger, denn nicht jeder Angriff wird sich so plump bemerkbar machen, wie der hier beschriebene.)

Und wenn es keinen zuverlässigen Schutz gibt und keine zuverlässige Bereinigung: was kann man sonst noch machen, um das Risiko wenigstens klein zu halten?

Und schließlich: welche Methoden gibt es, schnell wieder an ein laufendes System zu kommen? Nutzt ein Image-Backup, und wenn ja, mit welcher Software? Die Windows-Systemherstellung wird's ja wohl kaum sein...

Viele Grüße,
Lutz

Zitat:

Und wenn es keinen zuverlässigen Schutz gibt und keine zuverlässige Bereinigung: was kann man sonst noch machen, um das Risiko wenigstens klein zu halten?

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Zitat:

Und schließlich: welche Methoden gibt es, schnell wieder an ein laufendes System zu kommen? Nutzt ein Image-Backup, und wenn ja, mit welcher Software?

Da gibt's zB DriveSnapshot, DriveImageXML, Acronis TrueImage. Es lohnt sich schon was dafür auszugeben, das Geld ist besser investiert als in die weitgehend wirkungslosen Virenscanner oder SecuritySuites.

Willst Du denn jetzt noch bereinigen oder gleich formatieren?

Hallo Arne,

schönen Dank für Deine Ratschläge. Den Wechsel auf andere Browser/Mailprogramme werde ich mal vollziehen. Sind die wirklich sicherer oder nur seltener Ziel von Angriffen? (Was ja im Ergebnis dasselbe wäre - ich weiß.)

Das System würde ich zunächst lieber nicht neu aufsetzen. Dazu fehlt mit im Moment leider die Zeit. Ich überlege aber, ob ich das nicht mit dem Wechsel auf's neue Windows-OS kombiniere. Da ich aber einige spezielle Programme verwende, die angeblich nicht auf Windows 7 oder anderen OS laufen, muss ich das vorher genau abklären. Außerdem bin ich bald in Urlaub. Vorher klappt's bestimmt nicht mehr.

Daher wäre ich für jeden Tipp zur weiteren Bereinigung dankbar - trotz der erwähnten Einschränkungen und Bedenken.

Danke und viele Grüße!
Lutz

Ach ja: lese ich zwischen Deinen Zeilen richtig, dass Du keinen Viren-, Spywareschutz usw. verwendest?

Zitat:

Sind die wirklich sicherer oder nur seltener Ziel von Angriffen?

Naja, mittlerweile hat MS mit dem IE8 ja stark nachgebssert was die Sicherheit betrifft. Dennoch werden auf unsichere Technologien wie ActiveX noch gebaut. Außerdem kannst Du den AlternativBrowser Firefox noch weiter "härten" wenn Du die Erweiterung NoScript installierst. Das mit eingeschränkten Rechten kombiniert ist eine solide Basis, die ich schon lange Zeit anwende, unter Linux und Windows.

Zitat:

Ach ja: lese ich zwischen Deinen Zeilen richtig, dass Du keinen Viren-, Spywareschutz usw. verwendest?

Jetzt aktuell keinen. Ist unter Linux (Ubuntu 10.04) auch nicht nötig und ich würde mir das System eher verhunzen
Unter Windows XP lass ich nur hin und wieder Malwarebytes laufen, aber das ist auch nur wenn man so will just for fun, gefunden hat der noch nie was.