|
Plagegeister aller Art und deren Bekämpfung: Whistler in MBRWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.04.2011, 20:25 | #1 |
| Whistler in MBR Hallo werte Schädlingsbekämpfer, wie der Thread-Titel schon verrät, habe ich ein Problem mit dem "Whistler" Rootkit. Mein OS ist Windows 7 64bit Aufgefallen ist mir das ganze am Anfang der letzten Woche, als meine Avira Jahreslizenz auslief und ich darum Kasperky CBE 10 installiert habe (hatte so nen Computerbild Key zum aktivieren). Es kann also sein, dass ich dieses Rootkit schon recht lange habe. Symptome sind mir aber über die Zeit nie aufgefallen. Was ich bisher schon gemacht habe: -Von Windows DVD gebootet und mit den Reparaturopstionen "Bootprobleme behopen" ich glaub so ähnlich hieß das. Soweit ich das verstanden habe wird da die MBR erneuert. -Windows heute neu aufgespielt, da ich seite heut Morgen sofort nen Bluescreen nach dem Booten bekam (auch im abgesichterten Modus). Ich weiß nicht, ob es von dem Rootkit kommt, nehme es aber mal an. Bei der Formatierung habe ich die Systemplatte (80GB SSD) und eine 500GB HDD formatiert. Eine weitere 1000GB HDD habe ich unformatiert gelassen. (Formatiert habe ich in dem Windows-Installations Fenster). -Avast nach der Neuinstallation des OS checken lassen: Whistler noch da. -Im Internet geforscht und daraufhin "Mbrcheck" gedownloadet. Dessen ergebis: SSD alles paletti, aber auf beiden HDDs (eine fomratiert, eine nicht) Whistler in der MBR... -Einen "Bootkitremover" runtergeladen und benutzt. Dieser bringt bei den beiden HDDs leider folgenden Fehler: "ATA_Write <>: DeviceIoControl<> Error 1 ERROR: Can't write first sector of the disk" Dies liegt wahrscheinlich daran, dass diese in einer anderen "Art" von SATA Anschlüssen auf meinem Mobo stecken. Zudem steht deren Einstellung auf IDE, die der Anschlüsse in denen die SSD steckt auf AHCI. Könnt mir vorstellen, das die Probleme des Removers irgendwo hier liegen. Naja ist jetzt auch erstmal egal. So wie ich das hier gesehen habe, waren meine Schritet eh viel zu voreilig und man wird erstmal diverse Logs von mir fordern..... die ich gerne liefern werde. Vielen dank an alle Helfer im Vorraus!!! Geändert von ichhabangst (11.04.2011 um 20:31 Uhr) |
12.04.2011, 09:34 | #2 |
| Whistler in MBR hat mir keiner nen rat?
__________________ |
13.04.2011, 21:45 | #3 |
| Whistler in MBR Habe mittlerweile die mit mbrfix die beiden mbrs der beiden hdds geäubert (mit dem befehl "fixmbr"). mbrckeck sagt mir nun alles sei sauber. genauso wie avast.
__________________nun habe ich seit heute das problem, dass sich programme (und installer) nicht mehr starten lassen. dieses phänomen trat aber in den ersten zwei tagen nach der "säuberung" nicht auf. ich sehe dir gestarteten programme allerdings im taskmanager. wenn ich neustart mache, funktionieren die programme (manchmal) wieder. wenn dies der fall ist, meist nur eine sehr kurze zeit. danach lassen sich dann keine neuen mehr starten. interessanterweise sind die programme im autostart nicht betroffen. diese starten immer. sind das anzeichen dafür, dass sich noch schädliche software auf meinem pc befindet? allerdings habe ich auch diverse male die regestry mit cc cleaner gesäubert, was man ja anscheinend nicht machen sollte. zudem habe ich windows skinns installiert die u.a verlangt haben die explorer.exe durch eine modifizierte zu ersetzen. könne das auch der grund für meine probleme sein? komischerweise hat alles ja funktioniert zwei tage lang. als ich das phänomen das erste mal bemerkte, hatte ich davor nichts aussergewöhnliches gemacht. Geändert von ichhabangst (13.04.2011 um 21:56 Uhr) |
13.04.2011, 21:54 | #4 |
| Whistler in MBR hier mal mein highkackthis log: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 22:19:53, on 13.04.2011 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16722) Boot mode: Normal Running processes: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe F:\Download\complete\HiJackThis204.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\ievkbd.dll O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\klwtbbho.dll O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: FacebookDesktop - Verknüpfung.lnk = C:\Program Files (x86)\Facebook Desktop\FacebookDesktop.exe O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\ie_banner_deny.htm O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\klwtbbho.dll O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\klwtbbho.dll O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe O23 - Service: AMD Reservation Manager - Advanced Micro Devices - C:\Program Files\ATI Technologies\ATI.ACE\Reservation Manager\AMD Reservation Manager.exe O23 - Service: Kaspersky Security Suite CBE 10 (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Suite CBE 10\avp.exe O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files (x86)\Tunngle\TnglCtrl.exe O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 7628 bytes |
13.04.2011, 21:57 | #5 |
| Whistler in MBR da fällt mir noch ein: es ist das erste mal aufgetreten, nachdem ich avast deinstalliert hatte. ich wollte danach kasperksky insallieren und der installer des kasperskys war das erste "programm", was sich nicht starten liess. |
13.04.2011, 22:05 | #6 |
| Whistler in MBR grad ist mir noch aufgefallen, dass der internet explorer davon nicht betroffen ist |
Themen zu Whistler in MBR |
500gb, aktivieren, anfang, avira, bluescreen, booten, bootprobleme, checken, diverse, dvd, einstellung, error, fehler, folge, folgende, formatierung, installiert, internet, neuinstallation, problem, probleme, remover, rootkit, seite, windows, windows 7, write |