| |
| |||||||
Log-Analyse und Auswertung: Rootkit gefunden, Malware Infektion?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.06.2011, 02:27
| #1 |
 |  Rootkit gefunden, Malware Infektion? Hallo liebe Techniker, ich bin ratlos. Ich bekomm von meinem Avast AntiVir immer die Meldung, dass ein Rootkit gefunden wurde, eine Meldung dieser Art: MBR: \\.\PHYSICALDRIVE0 Auffällig ist, dass es auch in Windows 7 auftauchte, welches ich auf der gleichen HDD (partitioniert) installiert habe. Ich habe dann ComboFix ausgeführt. Es wurden einige Löschungen vorgenommen, laut logfile und im Prozess. Die Wiederherstellungskonsole wurde installiert. Jetz kam ein neues Problem hinzu. ich bekam Win XP nicht mehr hochgefahren, Bluescreen und Ende. Nicht mal mehr im Abgesicherten Modus. Windows 7 geht jedoch ohne Probleme. daraufhin hab ich die Wiederherstellungskonsole genutzt, fixmbr, und siehe da, Win XP startete wieder wie gewohnt. Allerdings wird selbst nach dem erstellen eines neuen MBR der Fehler vom Virenprogramm erneut ausgegeben. Avast kann das wohl nicht bereinigen, auch wenn ich Löschen ausführe, nach dem Neustart ist es wieder da. Ich kann jetzt aber nicht sagen, dass es meinen PC behindert, oder verlangsamt, ich meine, alles läuft wunderbar, und ich bin mir auch nicht sicher, ob es ein echter Trojaner ist, oder was auch immer. Ich hab mal gelesen, dass es auch was gefahrloses sein kann. Bin mir aber nicht sicher. Auf jeden Fall möchte ich, dass das gefixt wird. Der ComboFix Log sagt folgendes : Combofix Logfile: Code:
ATTFilter ComboFix 11-06-04.02 - MF 04.06.2011 2:51.1.4 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2855 [GMT 2:00]
ausgeführt von:: f:\incoming data & files\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: Lavasoft Ad-Watch Live! Virenschutz *Disabled/Updated* {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
.
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Nemo\Anwendungsdaten\ACD Systems\ACDSee\ImageDB.ddf
c:\dokumente und einstellungen\Nemo\WINDOWS
c:\programme\NavExcel
c:\programme\NavExcel\NavHelper\v2.0.3\v2.0.3.cab
c:\windows\settings.reg
c:\windows\system32\crt.dat
c:\windows\system32\Data
c:\windows\system32\lsprst7.dll
c:\windows\system32\shimg.dll
c:\windows\system32\ssprs.dll
.
.
((((((((((((((((((((((( Dateien erstellt von 2011-05-04 bis 2011-06-04 ))))))))))))))))))))))))))))))
.
.
2011-05-16 19:35 . 2011-05-10 11:59 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-05-16 19:35 . 2011-05-10 12:03 307928 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-05-16 19:35 . 2011-05-10 12:03 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-05-16 19:35 . 2011-05-10 12:02 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-05-16 19:35 . 2011-05-10 11:59 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-05-16 19:35 . 2011-05-10 12:02 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-05-16 19:35 . 2011-05-10 12:02 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-05-16 19:35 . 2011-05-10 11:59 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-05-16 19:35 . 2011-05-10 12:10 40112 ----a-w- c:\windows\avastSS.scr
2011-05-16 19:35 . 2011-05-10 12:10 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-05-16 19:34 . 2011-05-19 05:29 -------- d-----w- c:\programme\Avast
2011-05-16 11:38 . 2011-05-16 11:38 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-16 11:28 . 2011-05-16 11:28 -------- d-----w- c:\windows\system32\wbem\Repository
2011-05-10 17:11 . 2011-05-10 17:11 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Adobe Systems
2011-05-10 17:10 . 2011-05-10 17:10 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe Systems Shared
2011-05-10 17:09 . 2011-05-10 17:10 -------- d-----w- c:\programme\Audition 3
.
.
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-18 10:23 . 2010-11-13 10:08 16432 ----a-w- c:\windows\system32\lsdelete.exe
2011-03-16 22:42 . 2008-12-20 00:28 409600 ----a-w- c:\windows\system32\wrap_oal.dll
2011-03-16 22:42 . 2008-12-20 00:28 114688 ----a-w- c:\windows\system32\OpenAL32.dll
2011-03-16 22:09 . 2011-03-16 22:09 4706 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2011-04-14 16:40 . 2011-05-25 16:20 142296 ----a-w- c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-05-10 12:10 122512 ----a-w- c:\programme\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ai Nap"="c:\programme\ASUS\AI Suite\AiNap\AiNap.exe" [2008-05-21 1423360]
"Cpu Level Up help"="c:\programme\ASUS\AI Suite\CpuLevelUpHelp.exe" [2007-11-30 881152]
"zBrowser Launcher"="c:\programme\Logitech Tastatur\iTouch\iTouch.exe" [2002-11-23 631362]
"BrMfcWnd"="c:\programme\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]
"HD Tune"="c:\progra~1\HDTUNE~1\HDTune.exe" [2008-02-09 401408]
"CTSysVol"="c:\programme\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"avast"="c:\programme\Avast\avastUI.exe" [2011-05-10 3459712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\windows\system32\logonui.exe"
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *\0lsdelete
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- c:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Apple Mobile Device"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\DNA\\btdna.exe"=
"c:\\WINDOWS\\system32\\regsvr32.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\DC++\\DCPlusPlus.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version5\\TeamViewer_Service.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Programme\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
.
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13.11.2010 10:46 64288]
R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [24.06.2008 00:21 150568]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [19.07.2009 17:52 717296]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [16.05.2011 21:35 441176]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [16.05.2011 21:35 307928]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [16.05.2011 21:35 19544]
R2 PDSched;PDScheduler;c:\programme\Raxco\PerfectDisk\PDSched.exe [01.11.2004 13:56 237635]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [16.03.2011 23:19 101904]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [22.12.2008 12:01 33792]
R3 xcpip;TCP/IP-Protokolltreiber;c:\windows\system32\drivers\xcpip.sys --> c:\windows\system32\drivers\xcpip.sys [?]
R3 xpsec;IPSEC-Treiber;c:\windows\system32\drivers\xpsec.sys --> c:\windows\system32\drivers\xpsec.sys [?]
S3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [12.08.2010 14:15 2151128]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [12.08.2010 14:15 15232]
S3 PSTRIP;PSTRIP;\??\c:\windows\system32\DRIVERS\PSTRIP.SYS --> c:\windows\system32\DRIVERS\PSTRIP.SYS [?]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
2008-06-18 14:04 8192 ----a-w- c:\programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
.
2011-06-03 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-08-12 09:11]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
TCP: Interfaces\{D8CD2916-45C8-485D-8247-70263CB330AF}: NameServer = 208.67.222.222,208.67.220.220
DPF: DirectAnimation Java Classes
DPF: Microsoft XML Parser for Java
FF - ProfilePath - c:\dokumente und einstellungen\Nemo\Anwendungsdaten\Mozilla\Firefox\Profiles\8o34vhwd.default\
FF - prefs.js: browser.startup.homepage - hxxp://de.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:de:official
FF - prefs.js: network.proxy.type - 2
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-mIRC - c:\programme\mIRC\mirc.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-06-04 02:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"AB141C35E9F4BF344B9FC010BB17F68A"="02:\\Software\\Adobe\\FeatureSubscriptions\\DVAAdobeDocMeta\\{53C141BA-4F9E-43FB-B4F9-0C01BB716FA8}\\Registered"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(832)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Zeit der Fertigstellung: 2011-06-04 03:03:23
ComboFix-quarantined-files.txt 2011-06-04 01:03
.
Vor Suchlauf: 5 Verzeichnis(se), 17.338.728.448 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 29.257.920.512 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /FASTDETECT /NOEXECUTE=OPTIN /TUTAG=2ZBRZ3
.
- - End Of File - - 9C4191431C8D048338DC8A165607E9EB
Geändert von MFakaNemo (04.06.2011 um 03:12 Uhr) |
| Themen zu Rootkit gefunden, Malware Infektion? |
| ad-aware, adobe, antivir, antivirus, avast, bonjour, combo fix, combofix, cpu, einstellungen, explorer, fehlermeldung, firefox, installation, malware, mozilla, nicht sicher, rootkit, scan, schutz, software, sptd.sys, starten, svchost, tastatur, tcp, windows, windows xp |
Baum-Darstellung