Trojaner: Cryptic.HV lässt sich mit Virensoftware nicht entfernen

cosinus · 26.08.2010, 19:40

Du musst das vom Bootkit Remover vollständig posten. Am besten einen Screenshot machen.

muffti · 26.08.2010, 21:50

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5ddc20efcc4d1dab37c348c7db7289cf

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Done;
Press any key to quit...

cosinus · 26.08.2010, 22:12

Ok. Das sieht an für sich ok aus, ich brauch einen Gegencheck:

Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

Doppelklick auf die MBRCheck.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Das Tool braucht nur eine Sekunde.
Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

muffti · 26.08.2010, 23:11

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0000007d

Kernel Drivers (total 141):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806E3000 \WINDOWS\system32\hal.dll
0xB85A8000 \WINDOWS\system32\KDCOM.DLL
0xB84B8000 \WINDOWS\system32\BOOTVID.dll
0xB7F78000 ACPI.sys
0xB85AA000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xB7F67000 pci.sys
0xB80A8000 isapnp.sys
0xB8670000 pciide.sys
0xB8328000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xB80B8000 MountMgr.sys
0xB7F48000 ftdisk.sys
0xB8330000 PartMgr.sys
0xB8338000 sfsync02.sys
0xB80C8000 VolSnap.sys
0xB7F30000 atapi.sys
0xB80D8000 disk.sys
0xB80E8000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xB7F10000 fltmgr.sys
0xB7EFE000 sr.sys
0xB7EE8000 DRVMCDB.SYS
0xB80F8000 PxHelp20.sys
0xB7ED1000 KSecDD.sys
0xB7E44000 Ntfs.sys
0xB7E17000 NDIS.sys
0xB8340000 sfhlp02.sys
0xB7E06000 sfdrv01.sys
0xB7DEB000 Mup.sys
0xB8298000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xB6AE4000 \SystemRoot\system32\DRIVERS\nv4_mini.sys
0xB6AD0000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xB84A0000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xB6AAD000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xB84A8000 \SystemRoot\System32\DRIVERS\usbehci.sys
0xB6A88000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0xB6A73000 \SystemRoot\System32\DRIVERS\Rtenicxp.sys
0xB6A37000 \??\C:\WINDOWS\system32\drivers\acehlp10.sys
0xB85EE000 \SystemRoot\System32\Drivers\DLACDBHM.SYS
0xB82A8000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xB82B8000 \SystemRoot\System32\DRIVERS\redbook.sys
0xB6A14000 \SystemRoot\System32\DRIVERS\ks.sys
0xB82C8000 \SystemRoot\System32\DRIVERS\imapi.sys
0xB6A00000 \SystemRoot\system32\DRIVERS\TT7146KS.sys
0xB82D8000 \SystemRoot\system32\DRIVERS\STREAM.SYS
0xB69EF000 \SystemRoot\System32\DRIVERS\serial.sys
0xB7DA7000 \SystemRoot\System32\DRIVERS\serenum.sys
0xB84B0000 \SystemRoot\System32\DRIVERS\fdc.sys
0xB85F0000 \SystemRoot\system32\DRIVERS\ASACPI.sys
0xB69DB000 \SystemRoot\System32\DRIVERS\parport.sys
0xB82E8000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xB8350000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xB7DA3000 \SystemRoot\system32\drivers\atkkbnt.sys
0xB87E1000 \SystemRoot\System32\DRIVERS\audstub.sys
0xB82F8000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xB8534000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xB69C4000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xB8308000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xB8318000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xB8388000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xB69B3000 \SystemRoot\System32\DRIVERS\psched.sys
0xB7538000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xB8390000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xB8398000 \SystemRoot\System32\DRIVERS\raspti.sys
0xB83A0000 \SystemRoot\system32\DRIVERS\wanatw4.sys
0xB7528000 \SystemRoot\System32\DRIVERS\termdd.sys
0xB83A8000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xB7518000 \SystemRoot\system32\drivers\SaiBus.sys
0xB85F2000 \SystemRoot\System32\DRIVERS\swenum.sys
0xB695A000 \SystemRoot\System32\DRIVERS\update.sys
0xB7670000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xB7508000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xB7654000 \SystemRoot\system32\DRIVERS\SaiMini.sys
0xB74F8000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0xB83B8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0xB8540000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0xB8544000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xB74E8000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xB85F8000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xB26F8000 \SystemRoot\system32\drivers\ADIHdAud.sys
0xB26D4000 \SystemRoot\system32\drivers\portcls.sys
0xB74D8000 \SystemRoot\system32\drivers\drmk.sys
0xB26BD000 \SystemRoot\system32\drivers\AEAudio.sys
0xB265D000 \SystemRoot\system32\drivers\Senfilt.sys
0xB83C0000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xB2605000 \??\C:\WINDOWS\system32\drivers\SSHDRV76.sys
0xB8608000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xB8717000 \SystemRoot\System32\Drivers\Null.SYS
0xB860A000 \SystemRoot\System32\Drivers\Beep.SYS
0xB83D0000 \SystemRoot\System32\Drivers\DLARTL_N.SYS
0xB83D8000 \SystemRoot\System32\drivers\vga.sys
0xB860C000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xB860E000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xB83E0000 \SystemRoot\System32\Drivers\Msfs.SYS
0xB83E8000 \SystemRoot\System32\Drivers\Npfs.SYS
0xB8578000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xB25AA000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xB2552000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xB252A000 \SystemRoot\System32\DRIVERS\netbt.sys
0xB2509000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xB24E7000 \SystemRoot\System32\drivers\afd.sys
0xB74A8000 \SystemRoot\System32\DRIVERS\netbios.sys
0xB8178000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xB241C000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xB23AD000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xB8188000 \SystemRoot\System32\Drivers\Fips.SYS
0xB85A4000 \SystemRoot\system32\DRIVERS\hidusb.sys
0xB83F8000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0xB81A8000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xB86B4000 \SystemRoot\system32\DRIVERS\SWUSBFLT.sys
0xB2374000 \SystemRoot\System32\Drivers\Udfs.SYS
0xB81B8000 \SystemRoot\system32\DRIVERS\GcKernel.sys
0xB86DA000 \SystemRoot\system32\DRIVERS\HIDSwvd.sys
0xB235C000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xB8620000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xB2651000 \SystemRoot\System32\drivers\Dxapi.sys
0xB8408000 \SystemRoot\System32\watchdog.sys
0xBD000000 \SystemRoot\System32\drivers\dxg.sys
0xB86E7000 \SystemRoot\System32\drivers\dxgthk.sys
0xBD012000 \SystemRoot\System32\atkdisp.dll
0xBD051000 \SystemRoot\System32\nv4_disp.dll
0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
0xB2497000 \SystemRoot\System32\Drivers\DRVNDDM.SYS
0xB8705000 \SystemRoot\System32\DLA\DLADResN.SYS
0xB1FCD000 \SystemRoot\System32\DLA\DLAIFS_M.SYS
0xB2057000 \SystemRoot\System32\DLA\DLAOPIOM.SYS
0xB8628000 \SystemRoot\System32\DLA\DLAPoolM.SYS
0xB8418000 \SystemRoot\System32\DLA\DLABOIOM.SYS
0xB1EED000 \SystemRoot\System32\DLA\DLAUDFAM.SYS
0xB1ED7000 \SystemRoot\System32\DLA\DLAUDF_M.SYS
0xB1FFB000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xB1C92000 \SystemRoot\system32\drivers\wdmaud.sys
0xB74B8000 \SystemRoot\system32\drivers\sysaudio.sys
0xB16FB000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xB863A000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xB15CA000 \??\C:\WINDOWS\system32\drivers\acedrv10.sys
0xB1775000 \??\C:\WINDOWS\system32\drivers\EIO.sys
0xB145B000 \SystemRoot\System32\DRIVERS\srv.sys
0xB1888000 \SystemRoot\System32\DRIVERS\secdrv.sys
0xB0F8C000 \SystemRoot\System32\Drivers\HTTP.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 42):
0 System Idle Process
4 System
616 C:\WINDOWS\system32\smss.exe
668 csrss.exe
696 C:\WINDOWS\system32\winlogon.exe
740 C:\WINDOWS\system32\services.exe
768 C:\WINDOWS\system32\lsass.exe
948 C:\WINDOWS\system32\nvsvc32.exe
980 C:\WINDOWS\system32\svchost.exe
1028 svchost.exe
1116 C:\WINDOWS\system32\svchost.exe
1212 svchost.exe
1272 svchost.exe
1484 C:\WINDOWS\system32\spoolsv.exe
1736 C:\WINDOWS\explorer.exe
1844 C:\Programme\Analog Devices\Core\smax4pnp.exe
1852 C:\Programme\Adobe\Acrobat 7.0\Distillr\acrotray.exe
1868 C:\Programme\Java\jre6\bin\jusched.exe
1896 C:\Programme\Saitek\Software\ProfilerU.exe
1904 C:\Programme\Saitek\Software\SaiMfd.exe
1924 C:\WINDOWS\system32\DLA\DLACTRLW.EXE
2020 C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
2028 C:\Programme\Skype\Phone\Skype.exe
1064 C:\Programme\PIXELA\ImageMixer 3 SE\CameraMonitor.exe
1092 C:\Programme\Logitech\SetPoint\SetPoint.exe
1168 C:\Programme\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe
176 C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
496 svchost.exe
556 C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
572 C:\WINDOWS\ATKKBService.exe
108 C:\Programme\Java\jre6\bin\jqs.exe
812 C:\WINDOWS\system32\PnkBstrA.exe
1080 C:\WINDOWS\system32\PnkBstrB.exe
1304 C:\WINDOWS\system32\svchost.exe
1984 C:\Programme\Skype\Plugin Manager\skypePM.exe
1988 C:\WINDOWS\wanmpsvc.exe
2552 C:\Programme\Canon\CAL\CALMAIN.exe
2652 C:\WINDOWS\system32\wbem\wmiapsrv.exe
2904 alg.exe
1152 C:\WINDOWS\system32\wuauclt.exe
2208 C:\Programme\Mozilla Firefox\firefox.exe
252 C:\Dokumente und Einstellungen\Cpt. Muffti\Desktop\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00 (NTFS)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGSP2504C, Rev: VT100-41
PhysicalDrive1 Model Number: SAMSUNGSP2504C, Rev: VT100-41
PhysicalDrive2 Model Number: SAMSUNGSP1614N, Rev: TM100-24

Size Device Name MBR Status
--------------------------------------------
232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive2 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

Done!

cosinus · 27.08.2010, 09:35

Zitat:

232 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
232 GB \\.\PhysicalDrive1 Windows XP MBR code detected
SHA1: ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
149 GB \\.\PhysicalDrive2 Windows XP MBR code detected
SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

MBR ist ok!

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

muffti · 29.08.2010, 12:26

Hallo Arne,

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4500

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

29.08.2010 13:24:39
mbam-log-2010-08-29 (13-24-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|)
Durchsuchte Objekte: 372157
Laufzeit: 1 Stunde(n), 12 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

muffti · 29.08.2010, 14:50

Hier noch das Log von SuperAntispy:

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/29/2010 at 03:35 PM

Application Version : 4.42.1000

Core Rules Database Version : 5425
Trace Rules Database Version: 3237

Scan type : Complete Scan
Total Scan Time : 02:06:45

Memory items scanned : 472
Memory threats detected : 0
Registry items scanned : 7843
Registry threats detected : 0
File items scanned : 234432
File threats detected : 4

Trojan.Agent/Gen-Nullo[Short]
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F2259A4C-D538-4199-9D77-FFBA64579CF2}\RP316\A0057618.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{F2259A4C-D538-4199-9D77-FFBA64579CF2}\RP317\A0058322.EXE
G:\SYSTEM VOLUME INFORMATION\_RESTORE{F2259A4C-D538-4199-9D77-FFBA64579CF2}\RP316\A0057617.DLL

Rogue.Agent/Gen-Nullo[DLL]
C:\WINDOWS\SYSTEM32\WHLPDA32B.DLL

cosinus · 29.08.2010, 20:12

Sieht ok aus, da wurden nur Überreste gefunden.
Noch Probleme oder weitere Funde in der Zwischenzeit?

muffti · 14.09.2010, 12:03

Hallo Arne,
war im Urlaub und konnte länger nicht ins Netz. Bin jetzt seit einigen Tagen wieder im Lande und seit dem gabs keine Funde oder Probs mehr.
Ich werde die Tage nochmal ein Scan mit Malewarebytes machen.

Dir vielen vielen Dank für Deine Hilfe!

Gruß Michael

cosinus · 14.09.2010, 13:34

Wir sind dann durch!

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

26.08.2010, 19:40	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner: Cryptic.HV lässt sich mit Virensoftware nicht entfernen Du musst das vom Bootkit Remover vollständig posten. Am besten einen Screenshot machen. __________________ Logfiles bitte immer in CODE-Tags posten

29.08.2010, 20:12	#23
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Trojaner: Cryptic.HV lässt sich mit Virensoftware nicht entfernen Sieht ok aus, da wurden nur Überreste gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? __________________ Logfiles bitte immer in CODE-Tags posten

Trojaner: Cryptic.HV lässt sich mit Virensoftware nicht entfernen

Plagegeister aller Art und deren Bekämpfung: Trojaner: Cryptic.HV lässt sich mit Virensoftware nicht entfernen