msimgsiz.dat: Rootkit: system modification
 

Guten Tag,
ich hoffe auf Eure Hilfe bei folgendem Problem:
Ich habe von Avast (6.0.1125) die o.g. Meldung erhalten. Weitere Symptome: Immer wieder erscheint eine Meldung der Art: "Auf Laufwerk C kann nicht zugegriffen werden, nicht genügend Quoten verfügbar."
Bei einem weiteren Lauf hat Avast noch mehr gefunden, u.a. Prozess 2192 [mbam.exe], SPeicherblock nnn, Bedrohung Win32: Bifros e-EKQ, Bredolab-AP, Crypto-G, Dropper-FIT, Emold, Fake-ALert-UG, FakeVimes-B, Zlab-CBW.
MWB findet eine infizierte Datei namens c:\dokumente und einstellungen\***\lokale einstellungen\Temp\regincd2.exe und qualifiziert sie als Spyware.OnlineGames.
Schönen Dank für Eure Hilfe im voraus!

Hier nun die Logs.

Postst du davon bitte auch alle Logs vollständig? Danke.

Klar, gern!

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Nun ist er da, der Log des vollständigen MWB-Scans:

Hallo,
Du wolltes auch noch ältere MWB-Scans. Von meinem jetztigen System gibt es keine älteren mit Meldungen. Davor hatte ich eine Infektion, die ich durch Neuaufsetzen des Systems gelöst habe. Falls von Interesse: Hier hab ich die Meldungen gefunden, die aus der Zeit vor dem Neuaufsetzen stammen.
Gruß

und

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Hallo,
hier ist der Log des Kaspersky-Tools:
Eigene Dateien kann ich sehen, unhide.exe musste nicht laufen.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Arne,
danke!
Eine Frage:
ComboFix hat das Windows Recovery Center installiert. Heißt das, dass die Wiederherstlleung auf meinem Rechner zuvor nicht funktioniert hat und ab jetzt funktioniert? Muss ich daran noch etwas tun?
Gruß


Hier der Log von ComboFix:
[CODE]
Combofix Logfile:
--- --- ---

Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.

• Doppelklick auf die MBRCheck.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Das Tool braucht nur wenige Sekunden.
• Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.

Poste mir bitte den Inhalt des .txt Dokumentes

Hallo,
hier kommen die Logfiles. MBRCheck dagt, er habe non-Standard MBR code gefunden. Z.Info: Ich habe BootItNG installiert und verwende es. Z. Zeit verwende ich es als Bootmanager und boote ausschließlich von Laufwerk 1.


GMER kommt als gezippter ANhang.

Hier ist OSAM

Und hier COde des Logs von MBRCheck:

Wir sollten den MBR reparieren. Sichere für den Fall der Fälle jetzt alle wichtigen Daten.

Hast Du noch andere Betriebssystem außer WinXP drauf?

Wenn nicht, also WinXP das einzige installierte System ist: Starte den Rechner neu und wähle im Bootmenü die Wiederherstellungskonsole aus.
Tipp dort diese Befehle ein (jeweils mit enter ausführen und Anweisungen folgen bzw. bestätigen)

fixmbr \device\harddisk0
fixmbr \device\harddisk1
fixboot

Mit exit (dann enter drücken) wird der Rechner neu gestartet. Führe im normalen Windowsmodus MBRcheck und GMER nochmals aus und poste die neuen Logs.

Hallo,
ich habe nur WinXP drauf.
BootItNG besitzt eine eigene versteckte nicht-bootfähige Kleinstpartition, ich glaube 8 MB.
Mir ist nicht klar, wie ich ans Bootmenü von WinXP drankomme. Normalerweise erscheint es bei mir nicht.
Vielleicht sollte ich vor dem Fix BootItNG deinstallieren und dann MBRCheck drüberlaufen lassen? Wenn MBRCheck dann einen Standard-MBR vorfindet, dürfte der MBR in Ordnung sein, oder?

Das Tool kenn ich leider überhaupt nicht. Und ich weiß auch nicht wie sich ein MBR-Fix auswirkt, wenn dieses Tool im EInsatz ist. Deinstallier es erstmal und mach ein neues Log mit MBRcheck

Hi Arne,
so, nun ist alles geschafft, BootItNG deinstalliert, MBRCheck nochmal gelaufen. Hier das Ergebnis:
Irgendwas Verdächtiges drin?
Gruß

Noch ne Frage, bitte,
für die Datensicherung gestern hab ich zwei externe Festplatten angeschlossen. Besteht die Gefahr, dass die Malware auf sie übertragen wurde?

Ja natürlich besteht eine Gefahr, das musst du doch wissen! :confused:
Kommt drauf an, ob du dem Inahlt dieser Platten traust bzw. ob diese Platten frisch formatiert waren.
Und wenn dort schädlicher COde drauf ist, ob du diesen auch selbst ausgeführt hast oder ob durch automatische Wiedergabe automatisch Schadcode gestartet wurde

Nee, keine Ahnung, sry. Ich weiss ja auch nicht, wie ich ne Datensicherung anders hätte machen können.
Ich habe den Platten durchaus vertraut, ich meinte es anders herum: Kann es sein, dass sich schädlicher Code auf diese Platten übertragen hat, als ich die Dateien da drauf kopiert habe? Mir ist klar, dass sich schädlicher Code prinzipiell in den rüberkopierten Dateien verbergen kann - aber außerdem? Einfach durch Anschließen der Platten? Kurz gesagt: Kann ich ihnen jetzt noch trauen?

Seit der Meldung von Avast, dass ein Rootkit gefunden wurde, hab ich mich nicht mehr getraut, irgendwas zu machen, was einen externen Datenträger (USB-Stick, Speicherkarte) oder eine Passwort erfordert (EMail, websites wie facebook), außer natürlich Trojaner-Board.

Und zweite Frage: Wenn MBRCheck nichts mehr gemeldet hat (auch Avast meldet jetzt keine Rootkit-Veränderung mehr) - kann ich davon ausgehen, dass mein System jetzt sauber ist? Oder soll ich da noch was machen? Sorry, ich kann das überhaupt nicht beurteilen.

Danke für die Hilfe!

Ja, der MBR sollte wieder ok sein.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hallo Arne,

habe jetzt alle Scans laufen lassen.
Hier zuerst der MWB-Scan:
Und hier der superantispyware-Log
Die meisten sind auf Laufwerk D, das ich schon lang nicht mehr nutze.
Sorgen bereitet mir wieder ein Avast-Bericht (ich muss ihn abschreiben, da ich ihn in keinem Log-finde).
Auch auf Platte D, die auf Laufwerk 0 liegt und die ich nicht nutze. Ich habe sie seinerzeit wegen Infektion aufgegeben. War aber alles bereinigt, und Avast hat dort schon lange nichts mehr gefunden. Neulich musste ich aber wieder von ihr einmalig booten, da ich ja auf Deine Anweisung hin kürzlich BootItNG deinstalliert habe. Da musste ich boot.ini auf Laufwerk 0 halt einmal ändern. Danach war dieser Banker-GSK wieder da. Soll ich die Partition einfach neu formatieren?

Außerdem zeitg Avast einige Meldungen der Art:
um die ich mir aber wohl keine Sorgen machen muss?!

Mit dem Rechner habe ich jetzt keine Probleme mehr. Heisst das, dass alles in Ordnung ist? Kann ich jetzt ruhig wieder alles machen, z. B. auch Online-Banking?

Danke für Deine Hilfe. Spende kommt (wenn ich wieder OnlineBanking machen darf).

Eigentlich liegt die pagefile.sys auf c: - wie groß ist die auf D:?

Partition von Laufwerk D löschen, neu anlegen, formatieren?

Auf eigenes Risiko. Wer OnlineBanking macht muss ich darüber im Klaren sein. Viele nutzen OnlineBanking grundsätzlich nicht über Windows sondern über Live-CDs wie Ubuntu oder Bankix mit speziellen Bankingtools und Plugins.

Sonst nur Cookies...was ist mit ESET?

Dies ist die Auslagerungsdatei einer alten WinXP-Installation, die ich seint einem Jahr nicht mehr nutze - außer einmal, vor zwei Tagen, nachdem Du mich zur Deinstallation von BootItNG aufgefordert hast:


ESET wird nachgeliefert, hab aber ein bißchen Angst:
Kann nicht schon wieder was passieren, wenn der PC ohne Schutz im Netz ist?

Noch eine Frage: Gabs denn eine Bereinigung? Was hatte ich mir da eingefangen? Oder war das ein Fehlalarm von Avast?

WTF :wtf: wovor denn?

Bist du auch einer, der glaubt Schädlinge fliegen von ganz allein auf den PC?

Hier nun das Log von ESET:
Ich versteh immer noch nicht ganz - hatte ich eine tatsächlich eine Rootkit-Infektion, oder hatte Avast einen Fehlalarm produziert?

Zweite Frage: Ist es normal, dass Avast ein Problem meldet (auf pagefile.sys) und ESET nicht?

Danke für Deine Mühe!

Es könnte sein, dass du ein MBR-Rootkit hattest, aber wir den den MBR ja gefixt.
ESET hat nur noch Fehlalarme, Fund ein Setups dadruch weil diese Toolbars enthalten. SOwas stuft ESET als Adware ein, was auch garnicht falsch ist. Toolbars sind wirklich unnötige Programme.

Das mit der pagefile kannste ignorieren. Die stammt eh aus einer alten Windows-Installation.
Rechner ansonsten wieder im Lot?

Ja, der Rechner zeigt kein unerwartetes und auch kein unerwünschtes Verhalten.

MBR aber hatten wir nicht gefixt - ich hatte einfach nur BootItNG deinstalliert (das den MBR verändert, was aber erwünscht ist. BootIt ist ein sehr gutes Partitionsprogramm, Bootmanager etc. in einem).

Nochmals danke.

Achso, dann hatte ich das falsch in Erinnerung.

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

OK, werd ich alles machen, danke.

Das einzige, was mir komisch vorkommt ist, dass alles wieder in Ordnung zu sein scheint, obwohl nichts gefixt worden ist. Ein Rätsel!

Hallo,
nach ein paar Tagen Ruhe meldet avast wieder:
msimgsiz.dat: Rootkit: system modification
Was soll ich tun?

Bitte die genaue Meldung und nicht sowas abgehacktes posten!!

Ich bitte vielmals um Entschuldigung.
Die vollständige Meldung in der Tabelle avast Überprüfungsergebnisse lautet:
(linke Spalte, Überschrift: Dateiname) c:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\internet explorer\msimgsiz.dat
(mittlere Spalte, Überschrift: Schweregrad) Hoch
(rechte Spalte, Überschrift: Status) Bedrohung: rootkit: system modification.
Dazu gibt es noch sieben Meldungen darüber, dass in Prozess 1920 [mbamservice.exe] Würmer und Trojaner versteckt seien. Soll ich die auch alle abschreiben?
Und dann noch eine Menge Meldungen, dass irgendwelche Archive kennwortgeschützt seien.

Und dieser Pfad ist immer gleich?
Bitte mal bei uns hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Ich schreibe mal alle Rootkit-Meldungen seit 20.6. auf:
Normalerweise gehe ich mit Firefox ins Netz. Ich habe den leisen Verdacht, dass die Meldung erscheint, nachdem ich mit IE im Netz war. Sicher bin ich aber nicht.

msimgsiz.dat wird hochgeladen.

Bie der Menge und gemessen an dem was es da angebliche Rootkits in legitimen Programmen sieht, kann man eher davon ausgehen, dass dieses Anti-Rootkittool zu scharf eingestellt ist und dementsprechend viele Fehlalarme raushaut.