Trojaner-Board - msimgsiz.dat: Rootkit: system modification

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - msimgsiz.dat: Rootkit: system modification (https://www.trojaner-board.de/100742-msimgsiz-dat-rootkit-system-modification.html)

Hi Arne,
so, nun ist alles geschafft, BootItNG deinstalliert, MBRCheck nochmal gelaufen. Hier das Ergebnis:

Code:

MBRCheck, version 1.2.3

(c) 2010, AD
 

Command-line:                        

Windows Version:                Windows XP Home Edition

Windows Information:                Service Pack 3 (build 2600)

Logical Drives Mask:                0x000004fd
 

Kernel Drivers (total 138):

  0x804D7000 \WINDOWS\system32\ntoskrnl.exe

  0x806EF000 \WINDOWS\system32\hal.dll

  0xF7987000 \WINDOWS\system32\KDCOM.DLL

  0xF7897000 \WINDOWS\system32\BOOTVID.dll

  0xF75A7000 ACPI.sys

  0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS

  0xF7596000 pci.sys

  0xF75F7000 isapnp.sys

  0xF7A4F000 PCIIde.sys

  0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS

  0xF798B000 intelide.sys

  0xF7607000 MountMgr.sys

  0xF74D7000 ftdisk.sys

  0xF770F000 PartMgr.sys

  0xF7617000 VolSnap.sys

  0xF74BF000 atapi.sys

  0xF7627000 disk.sys

  0xF7637000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS

  0xF749F000 fltmgr.sys

  0xF748D000 sr.sys

  0xF7647000 KillFile.sys

  0xF7717000 PxHelp20.sys

  0xF7476000 KSecDD.sys

  0xF7B52000 Ntfs.sys

  0xF7449000 NDIS.sys

  0xF742F000 Mup.sys

  0xF7657000 agp440.sys

  0xF790F000 \SystemRoot\system32\DRIVERS\tunmp.sys

  0xF7687000 \SystemRoot\System32\DRIVERS\intelppm.sys

  0xBA3F2000 \SystemRoot\System32\DRIVERS\nv4_mini.sys

  0xBA3DE000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS

  0xF773F000 \SystemRoot\System32\DRIVERS\usbuhci.sys

  0xBA3BA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS

  0xF7747000 \SystemRoot\System32\DRIVERS\usbehci.sys

  0xF7757000 \SystemRoot\System32\DRIVERS\fdc.sys

  0xF7697000 \SystemRoot\System32\DRIVERS\i8042prt.sys

  0xF7767000 \SystemRoot\System32\DRIVERS\mouclass.sys

  0xF76A7000 \SystemRoot\System32\DRIVERS\serial.sys

  0xF7777000 \SystemRoot\system32\drivers\actser.sys

  0xF791B000 \SystemRoot\System32\DRIVERS\serenum.sys

  0xBA3A6000 \SystemRoot\System32\DRIVERS\parport.sys

  0xF76B7000 \SystemRoot\system32\drivers\Imapi.sys

  0xF7927000 \SystemRoot\system32\drivers\pfc.sys

  0xF76C7000 \SystemRoot\System32\Drivers\Cdr4_xp.SYS

  0xF76D7000 \SystemRoot\System32\DRIVERS\cdrom.sys

  0xF76E7000 \SystemRoot\System32\DRIVERS\redbook.sys

  0xBA383000 \SystemRoot\System32\DRIVERS\ks.sys

  0xBA363000 \SystemRoot\System32\Drivers\pwd_2k.SYS

  0xF778F000 \SystemRoot\System32\Drivers\Cdralw2k.SYS

  0xBA2DF000 \SystemRoot\system32\drivers\smwdm.sys

  0xBA2BB000 \SystemRoot\system32\drivers\portcls.sys

  0xF76F7000 \SystemRoot\system32\drivers\drmk.sys

  0xF798F000 \SystemRoot\system32\drivers\aeaudio.sys

  0xF7586000 \SystemRoot\System32\DRIVERS\avmcowan.sys

  0xF7576000 \SystemRoot\System32\DRIVERS\avmdsloe.sys

  0xF7993000 \SystemRoot\System32\Drivers\RootMdm.sys

  0xF77AF000 \SystemRoot\System32\Drivers\Modem.SYS

  0xF7566000 \SystemRoot\System32\DRIVERS\avmndsl.sys

  0xF7A7D000 \SystemRoot\System32\DRIVERS\audstub.sys

  0xF7556000 \SystemRoot\System32\DRIVERS\rasl2tp.sys

  0xF7947000 \SystemRoot\System32\DRIVERS\ndistapi.sys

  0xBA204000 \SystemRoot\System32\DRIVERS\ndiswan.sys

  0xF7546000 \SystemRoot\System32\DRIVERS\raspppoe.sys

  0xF7536000 \SystemRoot\System32\DRIVERS\raspptp.sys

  0xF77CF000 \SystemRoot\System32\DRIVERS\TDI.SYS

  0xBA1CB000 \SystemRoot\System32\DRIVERS\psched.sys

  0xF7526000 \SystemRoot\System32\DRIVERS\msgpc.sys

  0xF77DF000 \SystemRoot\System32\DRIVERS\ptilink.sys

  0xF77EF000 \SystemRoot\System32\DRIVERS\raspti.sys

  0xF7516000 \SystemRoot\System32\DRIVERS\termdd.sys

  0xF77FF000 \SystemRoot\System32\DRIVERS\kbdclass.sys

  0xF799B000 \SystemRoot\System32\DRIVERS\swenum.sys

  0xBA11D000 \SystemRoot\System32\DRIVERS\update.sys

  0xBA7F0000 \SystemRoot\System32\DRIVERS\mssmbios.sys

  0xF7817000 \SystemRoot\System32\Drivers\dvd_2K.SYS

  0xF7506000 \SystemRoot\System32\Drivers\NDProxy.SYS

  0xF74F6000 \SystemRoot\System32\DRIVERS\usbhub.sys

  0xF799F000 \SystemRoot\System32\DRIVERS\USBD.SYS

  0xF772F000 \SystemRoot\System32\DRIVERS\flpydisk.sys

  0xF79A3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS

  0xF7A94000 \SystemRoot\System32\Drivers\Null.SYS

  0xF79A7000 \SystemRoot\System32\Drivers\Beep.SYS

  0xF776F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS

  0xF777F000 \SystemRoot\System32\drivers\vga.sys

  0xF79AB000 \SystemRoot\System32\Drivers\mnmdd.SYS

  0xF79AF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys

  0xB8F90000 \SystemRoot\System32\Drivers\cdudf_xp.SYS

  0xF7797000 \SystemRoot\System32\Drivers\Msfs.SYS

  0xF77A7000 \SystemRoot\System32\Drivers\Npfs.SYS

  0xB8F4B000 \SystemRoot\System32\Drivers\UdfReadr_xp.SYS

  0xBA200000 \SystemRoot\System32\DRIVERS\rasacd.sys

  0xB8EFE000 \SystemRoot\System32\DRIVERS\ipsec.sys

  0xB8EE4000 \??\C:\Programme\comm\Internet\Atguard\iamdrv.sys

  0xB8E8B000 \SystemRoot\System32\DRIVERS\tcpip.sys

  0xBA7B8000 \SystemRoot\System32\Drivers\aswTdi.SYS

  0xB8DC5000 \SystemRoot\System32\DRIVERS\ipnat.sys

  0xBA7A8000 \SystemRoot\System32\DRIVERS\wanarp.sys

  0xB8D9D000 \SystemRoot\System32\DRIVERS\netbt.sys

  0xB8D65000 \SystemRoot\system32\DRIVERS\tcpip6.sys

  0xF77E7000 \SystemRoot\System32\Drivers\aswRdr.SYS

  0xBA798000 \SystemRoot\system32\drivers\ip6fw.sys

  0xB8D43000 \SystemRoot\System32\drivers\afd.sys

  0xBA788000 \SystemRoot\System32\DRIVERS\netbios.sys

  0xB8D18000 \SystemRoot\System32\DRIVERS\rdbss.sys

  0xB8CA8000 \SystemRoot\System32\DRIVERS\mrxsmb.sys

  0xBA768000 \SystemRoot\System32\Drivers\Fips.SYS

  0xB8C5E000 \SystemRoot\System32\Drivers\aswSP.SYS

  0xB8BC6000 \SystemRoot\System32\Drivers\aswSnx.SYS

  0xBA1A3000 \SystemRoot\System32\Drivers\Aavmker4.SYS

  0xB8B5D000 \SystemRoot\system32\DRIVERS\fwlanusb.sys

  0xBA17B000 \SystemRoot\system32\DRIVERS\usbccgp.sys

  0xF780F000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS

  0xB8F2D000 \SystemRoot\system32\DRIVERS\hidusb.sys

  0xBA29B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS

  0xB8F25000 \SystemRoot\system32\DRIVERS\kbdhid.sys

  0xB8F21000 \SystemRoot\System32\DRIVERS\mouhid.sys

  0xBF800000 \SystemRoot\System32\win32k.sys

  0xBA1E4000 \SystemRoot\System32\drivers\Dxapi.sys

  0xF774F000 \SystemRoot\System32\watchdog.sys

  0xBF000000 \SystemRoot\System32\drivers\dxg.sys

  0xF7A71000 \SystemRoot\System32\drivers\dxgthk.sys

  0xBF012000 \SystemRoot\System32\nv4_disp.dll

  0xBF3CD000 \SystemRoot\System32\ATMFD.DLL

  0xBA10D000 \??\C:\WINDOWS\system32\drivers\mbam.sys

  0xB7A01000 \SystemRoot\System32\Drivers\aswFsBlk.SYS

  0xB7056000 \SystemRoot\System32\Drivers\aswMon2.SYS

  0xB6DA9000 \SystemRoot\System32\DRIVERS\mrxdav.sys

  0xB712D000 \SystemRoot\System32\drivers\avmport.sys

  0xB6D6C000 \SystemRoot\system32\drivers\wdmaud.sys

  0xF79BB000 \SystemRoot\System32\Drivers\ParVdm.SYS

  0xB711D000 \SystemRoot\system32\drivers\sysaudio.sys

  0xBA1C3000 \SystemRoot\System32\DRIVERS\aadev.sys

  0xB6A3E000 \SystemRoot\System32\DRIVERS\srv.sys

  0xB6D09000 \SystemRoot\System32\Drivers\Cdfs.SYS

  0xB64E9000 \SystemRoot\System32\Drivers\HTTP.sys

  0xB7AB5000 \SystemRoot\System32\DRIVERS\ipfltdrv.sys

  0xB594E000 \SystemRoot\system32\drivers\kmixer.sys

  0x7C910000 \WINDOWS\system32\ntdll.dll
 

Processes (total 40):

       0 System Idle Process

       4 System

     620 C:\WINDOWS\system32\smss.exe

     892 csrss.exe

     916 C:\WINDOWS\system32\winlogon.exe

     960 C:\WINDOWS\system32\services.exe

     972 C:\WINDOWS\system32\lsass.exe

    1168 C:\WINDOWS\system32\svchost.exe

    1216 svchost.exe

    1256 C:\WINDOWS\system32\svchost.exe

    1300 svchost.exe

    1364 svchost.exe

    1424 C:\Programme\ut\sicherheit\Alwil Software\Avast5\AvastSvc.exe

    1764 C:\WINDOWS\explorer.exe

    1832 C:\WINDOWS\system32\spoolsv.exe

    1908 svchost.exe

    1992 C:\Programme\avmwlanstick\WLanNetService.exe

     188 C:\Programme\Java\jre6\bin\jqs.exe

     240 C:\Programme\ut\sicherheit\Malwarebytes' Anti-Malware\mbamservice.exe

     424 C:\WINDOWS\system32\nvsvc32.exe

     512 C:\WINDOWS\system32\svchost.exe

     668 wdfmgr.exe

     752 C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe

     840 C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe

     324 C:\Programme\CD+DVD\Roxio\Easy CD Creator 5\DirectCD\Directcd.exe

     684 C:\WINDOWS\system32\rundll32.exe

     368 C:\Programme\Comm\Mozilla Firefox\firefox.exe

     936 C:\Programme\avmwlanstick\WLanGUI.exe

    1952 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

    2064 C:\Programme\ut\sicherheit\Malwarebytes' Anti-Malware\mbamgui.exe

    2080 C:\Programme\Comm\Microsoft ActiveSync\wcescomm.exe

    2096 C:\PROGRA~1\Comm\MICROS~1\rapimgr.exe

    2360 C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe

    2388 C:\WINDOWS\system32\wuauclt.exe

    2952 C:\Programme\Office\OpenOffice.org 3\program\soffice.exe

    3344 C:\Programme\Office\OpenOffice.org 3\program\soffice.bin

    2076 alg.exe

    3792 wmiprvse.exe

    2456 C:\Programme\Office\Crimson Editor\cedt.exe

    2856 F:\SOFTWARE\Sicherheit\MBRCheck\MBRCheck.exe
 

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)

\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)

\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000002`ed9d7200  (NTFS)

\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000002`ed9df000  (NTFS)

\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00100000  (NTFS)

\\.\K: --> \\.\PhysicalDrive3 at offset 0x00000000`00007e00  (NTFS)
 

PhysicalDrive1 Model Number: HDS724040KLAT80, Rev: KFAOA46A

PhysicalDrive0 Model Number: WDCWD2500JB-75GVA0, Rev: 08.02D08

PhysicalDrive2 Model Number: WDExt HDD 1021, Rev: 2002

PhysicalDrive3 Model Number: WD6400AAK External, Rev: 1.05
 

      Size  Device Name          MBR Status

  --------------------------------------------

    372 GB  \\.\PhysicalDrive1   Windows 98 MBR code detected

            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E

    232 GB  \\.\PhysicalDrive0   Windows 98 MBR code detected

            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E

   1397 GB  \\.\PhysicalDrive2   RE: Windows XP MBR code detected

            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A

    596 GB  \\.\PhysicalDrive3   RE: Windows 98 MBR code detected

            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E
 
 

Done!

Irgendwas Verdächtiges drin?
Gruß

Noch ne Frage, bitte,
für die Datensicherung gestern hab ich zwei externe Festplatten angeschlossen. Besteht die Gefahr, dass die Malware auf sie übertragen wurde?

Zitat:

für die Datensicherung gestern hab ich zwei externe Festplatten angeschlossen. Besteht die Gefahr, dass die Malware auf sie übertragen wurde?

Ja natürlich besteht eine Gefahr, das musst du doch wissen! :confused:
Kommt drauf an, ob du dem Inahlt dieser Platten traust bzw. ob diese Platten frisch formatiert waren.
Und wenn dort schädlicher COde drauf ist, ob du diesen auch selbst ausgeführt hast oder ob durch automatische Wiedergabe automatisch Schadcode gestartet wurde

Zitat:

natürlich besteht eine Gefahr, das musst du doch wissen

Nee, keine Ahnung, sry. Ich weiss ja auch nicht, wie ich ne Datensicherung anders hätte machen können.
Ich habe den Platten durchaus vertraut, ich meinte es anders herum: Kann es sein, dass sich schädlicher Code auf diese Platten übertragen hat, als ich die Dateien da drauf kopiert habe? Mir ist klar, dass sich schädlicher Code prinzipiell in den rüberkopierten Dateien verbergen kann - aber außerdem? Einfach durch Anschließen der Platten? Kurz gesagt: Kann ich ihnen jetzt noch trauen?

Seit der Meldung von Avast, dass ein Rootkit gefunden wurde, hab ich mich nicht mehr getraut, irgendwas zu machen, was einen externen Datenträger (USB-Stick, Speicherkarte) oder eine Passwort erfordert (EMail, websites wie facebook), außer natürlich Trojaner-Board.

Und zweite Frage: Wenn MBRCheck nichts mehr gemeldet hat (auch Avast meldet jetzt keine Rootkit-Veränderung mehr) - kann ich davon ausgehen, dass mein System jetzt sauber ist? Oder soll ich da noch was machen? Sorry, ich kann das überhaupt nicht beurteilen.

Danke für die Hilfe!

Ja, der MBR sollte wieder ok sein.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

habe jetzt alle Scans laufen lassen.
Hier zuerst der MWB-Scan:

Code:

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org
 

Datenbank Version: 6967
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

29.06.2011 00:24:28

mbam-log-2011-06-29 (00-24-28).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)

Durchsuchte Objekte: 863346

Laufzeit: 6 Stunde(n), 51 Minute(n), 19 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Und hier der superantispyware-Log

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 06/29/2011 at 12:09 PM
 

Application Version : 4.54.1000
 

Core Rules Database Version : 7347

Trace Rules Database Version: 5159
 

Scan type       : Complete Scan

Total Scan Time : 10:32:15
 

Memory items scanned      : 545

Memory threats detected   : 0

Registry items scanned    : 6661

Registry threats detected : 0

File items scanned        : 703995

File threats detected     : 55
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Admin\Cookies\admin@kaspersky.122.2o7[1].txt

        C:\Dokumente und Einstellungen\Admin\Cookies\admin@guj.122.2o7[1].txt

        akamai.smartadserver.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        ch.mediaplanet.streamingbolaget.se [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        ia.media-imdb.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        imagesrv.adition.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media.mtvnservices.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media.scanscout.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media.socialvibe.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media1.break.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        serving-sys.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        vidii.hardsextube.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.ardmediathek.de [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.naiadsystems.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.pornme.in [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.sexyandfunny.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        wwwstatic.megaporn.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        akamai.smartadserver.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        alotporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        banners.securedataimages.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        bc.youporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        bdsm-mit-herz.joyclub.de [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        cdn1.eyewonder.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        cdn5.specificclick.net [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        crackle.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        ds.serving-sys.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        files.adbrite.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        googleads.g.doubleclick.net [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        ia.media-imdb.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media.scanscout.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        media1.break.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        msnbcmedia.msn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        naiadsystems.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        pornotube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        secure-us.imrworldwide.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        socialmedia.sportrelief.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        static.eporner.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        static.xxxmatch.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        static.youporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        static1.pornturbo.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        vidii.hardsextube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.alphaporno.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.euros4click.de [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.freeporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.freshporntube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.mofosex.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.pornhub.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.pornstarnetwork.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.teenist.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        www.watch-us-fuck.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        wwwstatic.megaporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]

        cdn5.specificclick.net [ D:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RMQ9LXC7 ]

        cdn5.specificclick.net [ D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ARXQ4B34 ]

        s0.2mdn.net [ D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ARXQ4B34 ]

Die meisten sind auf Laufwerk D, das ich schon lang nicht mehr nutze.
Sorgen bereitet mir wieder ein Avast-Bericht (ich muss ihn abschreiben, da ich ihn in keinem Log-finde).

Code:

D:\pagefile.sys ... Bedrohung: Win32: Banker-GSK [Spy]

Auch auf Platte D, die auf Laufwerk 0 liegt und die ich nicht nutze. Ich habe sie seinerzeit wegen Infektion aufgegeben. War aber alles bereinigt, und Avast hat dort schon lange nichts mehr gefunden. Neulich musste ich aber wieder von ihr einmalig booten, da ich ja auf Deine Anweisung hin kürzlich BootItNG deinstalliert habe. Da musste ich boot.ini auf Laufwerk 0 halt einmal ändern. Danach war dieser Banker-GSK wieder da. Soll ich die Partition einfach neu formatieren?

Außerdem zeitg Avast einige Meldungen der Art:

Code:

Prozess 3844 [superantispyware.exe], ..., Bedrohung: Win32: Agent-ADV [Rtk]

um die ich mir aber wohl keine Sorgen machen muss?!

Mit dem Rechner habe ich jetzt keine Probleme mehr. Heisst das, dass alles in Ordnung ist? Kann ich jetzt ruhig wieder alles machen, z. B. auch Online-Banking?

Danke für Deine Hilfe. Spende kommt (wenn ich wieder OnlineBanking machen darf).

Zitat:

D:\pagefile.sys ... Bedrohung: Win32: Banker-GSK [Spy]

Eigentlich liegt die pagefile.sys auf c: - wie groß ist die auf D:?

Zitat:

Auch auf Platte D, die auf Laufwerk 0 liegt und die ich nicht nutze. Ich habe sie seinerzeit wegen Infektion aufgegeben

Partition von Laufwerk D löschen, neu anlegen, formatieren?

Zitat:

Danke für Deine Hilfe. Spende kommt (wenn ich wieder OnlineBanking machen darf).

Auf eigenes Risiko. Wer OnlineBanking macht muss ich darüber im Klaren sein. Viele nutzen OnlineBanking grundsätzlich nicht über Windows sondern über Live-CDs wie Ubuntu oder Bankix mit speziellen Bankingtools und Plugins.

Sonst nur Cookies...was ist mit ESET?

Zitat:

Eigentlich liegt die pagefile.sys auf c: - wie groß ist die auf D:?

Dies ist die Auslagerungsdatei einer alten WinXP-Installation, die ich seint einem Jahr nicht mehr nutze - außer einmal, vor zwei Tagen, nachdem Du mich zur Deinstallation von BootItNG aufgefordert hast:

Zitat:

Neulich musste ich aber wieder von ihr einmalig booten, da ich ja auf Deine Anweisung hin kürzlich BootItNG deinstalliert habe. Da musste ich boot.ini auf Laufwerk 0 halt einmal ändern. Danach war dieser Banker-GSK wieder da.

ESET wird nachgeliefert, hab aber ein bißchen Angst:

Zitat:

Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Kann nicht schon wieder was passieren, wenn der PC ohne Schutz im Netz ist?

Noch eine Frage: Gabs denn eine Bereinigung? Was hatte ich mir da eingefangen? Oder war das ein Fehlalarm von Avast?

Zitat:

ESET wird nachgeliefert, hab aber ein bißchen Angst:

WTF :wtf: wovor denn?

Zitat:

Kann nicht schon wieder was passieren, wenn der PC ohne Schutz im Netz ist?

Bist du auch einer, der glaubt Schädlinge fliegen von ganz allein auf den PC?

Hier nun das Log von ESET:

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)

# OnlineScanner.ocx=1.0.0.6427

# api_version=3.0.2

# EOSSerial=4703323d1b3ec5429d912e3cae4d69d2

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-07-01 11:01:01

# local_time=2011-07-01 01:01:01 (+0100, Westeuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 3

# compatibility_mode=512 16777215 100 0 794911 794911 0 0

# compatibility_mode=768 16777215 100 0 0 0 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=958894

# found=3

# cleaned=0

# scan_time=38756

F:\Laufwerke der kaputten Maxtor-Festplatte\LwD (altes Lw C)\found.000\dir0004.chk\HachaPro\hacha.exe        probably a variant of Win32/Agent.ETBBQHX trojan (unable to clean)        00000000000000000000000000000000        I

F:\SOFTWARE\CD+DVD\Nero\nero8-fdb.iso        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I

G:\Sicherungen 2011-06-27\Lw F 27.6.2011\SOFTWARE\CD+DVD\Nero\nero8-fdb.iso        Win32/Toolbar.AskSBar application (unable to clean)        00000000000000000000000000000000        I

Ich versteh immer noch nicht ganz - hatte ich eine tatsächlich eine Rootkit-Infektion, oder hatte Avast einen Fehlalarm produziert?

Zweite Frage: Ist es normal, dass Avast ein Problem meldet (auf pagefile.sys) und ESET nicht?

Danke für Deine Mühe!

Es könnte sein, dass du ein MBR-Rootkit hattest, aber wir den den MBR ja gefixt.
ESET hat nur noch Fehlalarme, Fund ein Setups dadruch weil diese Toolbars enthalten. SOwas stuft ESET als Adware ein, was auch garnicht falsch ist. Toolbars sind wirklich unnötige Programme.

Das mit der pagefile kannste ignorieren. Die stammt eh aus einer alten Windows-Installation.
Rechner ansonsten wieder im Lot?

Ja, der Rechner zeigt kein unerwartetes und auch kein unerwünschtes Verhalten.

MBR aber hatten wir nicht gefixt - ich hatte einfach nur BootItNG deinstalliert (das den MBR verändert, was aber erwünscht ist. BootIt ist ein sehr gutes Partitionsprogramm, Bootmanager etc. in einem).

Nochmals danke.

Achso, dann hatte ich das falsch in Erinnerung.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK, werd ich alles machen, danke.

Das einzige, was mir komisch vorkommt ist, dass alles wieder in Ordnung zu sein scheint, obwohl nichts gefixt worden ist. Ein Rätsel!

Hallo,
nach ein paar Tagen Ruhe meldet avast wieder:
msimgsiz.dat: Rootkit: system modification
Was soll ich tun?