Hallo erstmal!
Ich wende mich heute hier an euch, weil ich vor ca. 14 Tagen bemerkte, dass ich allmählich die Kontrolle über meinen Firmenlaptop verlor und ausspioniert wurde. Leider konnte ich den Übeltäter bisher nichtmal identifizieren und kann nur die mir aufgefallen Symptome umschreiben: Es wurden Logfiles mit dubiosen Endungen erstellt denen man beim Wachsen zusehen konnte. Diese enthielten meine Dateiverzeichnisse, Textfragmente von mir Geschriebenem, Installierte Software und deren Key´s, Kamerabilder und was weiß ich noch alles mehr. Einstellungen die ich vornahm, wurden wieder geändert (z.B. versteckte Dateien einblenden wurde durch einen "Hide" Shell-Eintrag ausgehebelt). Rechte in der Registry wurden mir entzogen. Neue Dienste wurden erstellt und an bestehenden die Rechte übernommen. Genauso die Prozesse. Nicht-PnP Treiber wurden erstellt. Und das Übel scheint seine Handlungen immer vor deren Ausführung "unsichtbar" zu machen. Überall in der Registry, den Diensten und Prozessen tauchen dann immer mehr dubiose Root-Befehle und merkwürdige Strings die mit einer Verschlüsselung aufhören. Datei-Endungen wurden in Ihrer Funktion geändert, Virenkiller haben mitten im Scannen einfach aufgehört und sich ohne Meldungen einfach beendet. Bei G-Data kam sogar mitten in der Installation die Meldung der Dienst "Windows Installer" stünde nicht zur Verfügung.
Ich habe mein System mittlerweile bestimmt 10 mal neu aufgesetzt, zuletzt mit der Befehlsfolge: fixmbr, fixboot, format c: und hatte bis gestern Abend auch ein recht gutes Gefühl den Hund endlich losgeworden zu sein, aber nun habe ich doch wieder Bedenken. Der "
Bootkit Remover" meldete mir den Fund eines "Unknown Boot code"...
Habe Anleitung A abgearbeitet, wobei es zu erwähnen gibt, dass mir beim Ausführen der gmer.exe ein svchost-Dienst eine 100%-CPU-Last beschert hat und ich daraufhin nicht mehr normal herunterfahren konnte. Hier die benötigten Logfiles:
PHP-Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4539
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
03.09.2010 22:55:10
mbam-log-2010-09-03 (22-55-10).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 134300
Laufzeit: 3 Minute(n), 58 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
PHP-Code:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 23:01 on 03/09/2010 (XPS-1730)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
PHP-Code:
.text ntkrnlpa.exe!ZwCallbackReturn + 2CE0 8050457C 4 Bytes JMP C9A4F308
? SYMDS.SYS Das System kann die angegebene Datei nicht finden. !
? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB54473A0, 0x59FFE5, 0xE8000020]
init C:\WINDOWS\system32\Drivers\OEM02Afx.sys entry point in "init" section [0xAE9B6310]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3080] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ntdll.dll!RtlValidateUnicodeString + 554 7C9263BE 10 Bytes JMP 0249003A
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195501 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D135 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DB24 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D4666 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 41364B6F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364AA1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 41364B0C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364972 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413649D4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 41364BD2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364A36 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!OleInitialize + E37 774D0521 7 Bytes JMP 024900F3
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DB80 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!CoImpersonateClient + 51 774E56C0 7 Bytes JMP 024901A9
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3172] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41364EF0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
---- EOF - GMER 1.0.15 ----
Die OTL-File mußte ich wohl wegen Ihrer Größe anhängen.
Kann mir denn bitte bitte jemand helfen und mir sagen, ob mein XPS nun sauber ist oder nicht? Da ich nichtmal weiß was ich mir da eingefangen hatte und wie ich mich davor schützen kann, trau ich mich zur Zeit nicht an meine gesicherten Dateien (die sind ja viel. oder sogar bestimmt auch "verseuch") Ich verdiene mit diesem Laptop meinen Lebensunterhalt und bin mit meinem Latein sowie meinen Nerven echt am Ende. Darum wäre euch euch für eine schnelle Hilfe wirklich sehr dankbar.
04.09.2010, 12:12
Baum-Darstellung