PC neu aufgsetzt, zufälliger GMER Scan->rootkit ?
 

Guten Morgen,


Heute Morgen habe ich den PC meiner Freundin neu aufgesetzt und musste zu meinem Erschrecken feststellen, dass er anscheinend mit einem rootkit? infiziert ist.
Der Scan war mehr ein Zufall, da ich die Top-Suchbegriffe bei heise.de abgesurft bin.
Malwarebytes hat nichts gefunden, wohl aber GMER. Danke im Voraus!
Habe aus Versehen 2 Mal gescannt, hier die beiden Scans:

Logfile GMER:

GMER Logfile:
--- --- ---


GMER Logfile:
--- --- ---

Hi,

Wo siehst du da ein Rootkit im Gmer-Log? Ich seh keines..

Ich habe Mal irgendwo gelesen, dass diese Kernal calls benutzt werden um ein System wieder per BIOS (Graka oder Normales) zu infizieren. Aber das Kompetenzteam eid ihr, von daher auch meine Frage.
Weiterhin habe ich kein FAT DS, sondern NTFS. Weiterhin konnte ich kein Windows-Update durchführen, einige gingen nicht (ist sonst nie so?).

Also das Gmer-Log bietet kein Grund zur Sorge.
Wo bleiben denn die Windows Updates hängen? Bekommst du eine konkrete Fehlermeldung?

Danke für Deine Mühe. Ich war wohl nur etwas zu "paranoid". Jeder Scan zeigt "0" Funde an, von daher sieht das gut aus.
Anders hingegen scheint es sich beim Laptop meiner Nichte zu verhalten. Der verhält sich "komisch". Darf ich da mal das Log hier reinposten, falls gewünscht auch per OTL.exe ?

In Ordnung.
Ja, wenn ich mal schnell den Laptop deiner Nichte anschauen soll, dann poste bitte die Gmer- und OTL-Logs davon.

So, da bin ich wieder. Leider mit offensichtlich schlechten nachrichten. Das Sys scheint komplett "fertig" zu sein. Ich würde es auch ohne weiteres einfach neu aufsetzen/formatieren, aber leider sind da wohl noch "wichtige" Sachen meiner Nichte drauf.
Ich hoffe also Mal, dass wir das wieder hinbiegen können, so dass ich wenigstens ein sauberes backup ziehen kann.

Hier die Logs:

OTL Logfile:
--- --- ---

[/CODE]

Hallo,

Wieso meinst du..? Hast du Scans mit schwerwiegenden Malwarefunden gemacht? Oder läuft einfach nichts mehr richtig?

Es steht da nichts im Wege, jetzt ein Backup aller persönlichen Daten auf ein externes Speichermedium zu machen und das System danach einzustampfen und neu zu machen.
Einfach wie immer beim Backup darauf achten, dass wirklich nur gezielt persönliche Dateien (wie Bilder, Musik, Worddateien, Emails, Favoriten, ..) und keine Programme oder sonstigen ausführebaren Dateien gesichert werden. Diese kann man alle neu installieren bzw. neu aus dem Internet herunterladen.
Wenn man das nicht im laufenden Windows machen will, geht es auch in einer Linux-Umgebung: http://www.trojaner-board.de/82533-d...ted-magic.html

Und für die Zukunft kannst du deiner Nichte hinter die Ohren schreiben, dass ihre "wichtigen" Sachen immer ein externes Backup haben müssen, wenn sie sie auf keinen Fall verlieren will.

Können wir gemeinsam einen Versuch wagen, es sauber zu kriegen? Ich hätte jetzt Zeit und bin auch leider in der misslichen Lage, keine Windows CD zu besitzen. Gerne zeige ich mich erkenntlich und überweis euch etwas Geld.

Danke im Voraus !

Ja klar, dann schauen wir als erstes mal, wie das Gmer-Log nach Deaktivierung des Emulator-Treibers aussieht...


Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button.
• Bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
• Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!



Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

• Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
• Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
• Schliesse bitte alle anderen Programme.
• Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Sollte sich ein Fenster mit folgender Warnung öffnen

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  dann klicke unbedingt auf No.
• Entferne rechts den Haken bei:
  • IAT/EAT
  • Show all
• Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
• Starte den Scan mit einem Klick auf Scan.
• Mache gar nichts am Computer, während der Scan läuft!
• Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
• Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
• Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 3

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

• Starte die aswMBR.exe.
  Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke auf Scan.
• Warte bitte, bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere die Datei auf dem Desktop.

Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Bitte poste in deiner nächsten Antwort:

• Log von Gmer
• Log von aswMBR

OK mach ich sofort, Danke !

Weisst Du zufaellig wo ich die avast files hinkopieren muss die aswmbr zieht, weil ich möchte den PC nur sehr ungerne ans Netz packen und die aktuellen avast files hätte ich hier auf meinem PC.

Das kann ich dir jetzt grad so im Moment nicht sagen, nein.
Es sollte aber kein Problem sein, den Rechner für diesen Scan ins Netz zu hängen. Aber wenn du das noch nicht möchtest, dann mach einfach den aswmbr-Scan ohne die avast-Definitionen.

Hi, der scannt sich zu Tode im GMER ;(( Soll ich abbrechen, er ist wirklich gescheid lahm.
Aber es geht wohl (noch) vorwärts ....

Danke nochmal für Deine Hilfe.

GMER Logfile:
--- --- ---

aswmbr hat nichts angezeigt, habs aber leider nicht kopiert. soll ichs noch besorgen oder ist ok so?

lg

Hallo,

das ist ok so.
Startet und läuft der Rechner im Moment besonders langsam..?
(Für den Schritt 2 muss der Rechner Internetzugriff haben.)


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.

• Schliesse bitte alle anderen Programme.
• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von Adwcleaner
• Log von Combofix
• Log von OTL

Es ist was schlimmes passiert! Ich habe wohl meinen PC irgendwie ebenfalls verseucht. Kann es der USB Stick gewesen sein, der eig. mit Panda Vacc immunisiert war?
Nun hab ich Angst, da auf dem PC meine Uni-Sachen drauf sind und ... Oh mein Gott.
Ich habe daher auch mal von meinem Desktop Sys ein Aswmbr und ein GMemer gemacht und Deine Schritte 1:1 übernommen. Hoffe das war OK so.

Tut mir leid dass das so chaotisch verläuft, aber DAS war wirklich nicht beabsichtigt.
Ohne meinen Desktop PC habe ich kein Netz, evtl. sollten wir kurz die Priorität dynamisch anpassen zu meinen Gunsten, Danke im Voraus.


--- --- ---



AdwCleaner Logfile:
--- --- ---


OTL Logfile:
--- --- ---

[/CODE]

Ah, wieder geöffnet. Puhh ... wie gesagt, ich habe mir heute Abend freigehalten - sag mir Bescheid wies weitergeht. Danke nochmal!