Rootkit gefunden.
 

Hallo liebe Forumgemeinde. Habe mich zum erstenmal hier angemeldet weil ich mit einem potenziellen rootkit zu tun habe.

Also zu meinem System, ich habe einen Desktop PC mit Windows 7 64bit OS.

Internetverbindung erfolgt mit DSL über LAN.

Unglücklicherweise war ich vor knapp 2 Wochen etwas unvorsichtig und bin einem dieser elenden Spammer auf den Leim gegangen in dem ich auf einen Link in einem Forum geklickt habe. Es war eine augenscheinlich hergerichtete fake seite um den Leuten irgendwelche Schadsoftware unterzujubeln.

Ich habe dann gleich danach Avira drüberlaufen lassen und es wurden 2 Schädlinge angezeigt und behoben. Habe vor dem Löschen noch die Logs angeschaut und habe es noch im Kopf. Eins der Biester konnte andere programme verändern oder verschleiern. Den genauen Namen weiß ich leider nicht mehr.

In der Zwischenzeit habe ich mich dann gefragt ob dieses Biest vielleicht einem anderen das Tor geöffnet hat? Aber der PC lief normal weiter.

Nun bin ich jedoch stutzig geworden und habe GMER drüberlaufen lassen. Dieses zeigt im Log unter Rootkit folgendes.

Type: Thread
Name: C:\\Windows\System32\svchost.exe[2084:4852]
Value: 000007fef4aa9688

Ist das eines dieser Biester dass sich mit einer variablen tarnt?

Was sol ich nun tun? Behebt GMER das Problem?

Wäre für alle Antworten dankbar.

Schauen wir eben mal:



:hallo:

Ich werde dir bei deinem Problem helfen. Die Bereinigung funktioniert nur, wenn du dich an die folgenden Regeln hälst:



Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Laufwerksemulationen abschalten mit Defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

• Starte das Tool mit Doppelklick.
• Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
• Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
• Wenn der Scan beendet wurde (Finished), klicke auf OK.
• Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
• Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.log. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2:
Scan mit aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.

• Starte die aswMBR.exe - (aswMBR.exe Anleitung)
  Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
• Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  
• Klicke auf Scan.
• Warte bitte bis Scan finished successfully im DOS-Fenster steht.
• Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Schritt 3:
Scan mit dem TDSS-Killer

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Schritt 4:

Scan mit DDS+ (mit attach)

Downloade dir bitte DDS (von sUBs) und speichere die Datei auf deinem Desktop.

dds.com

• Schließe alle laufenden Programme und starte DDS mit Doppelklick.
• Der Desktop wird verschwinden, das ist normal.
• Stelle folgendes ein:
  
  [X] dds.txt
  [X] attach.txt
  
  
• Ändere keine Einstellung ohne Anweisung.
• Klicke auf Start.
• Es werden 2 Logfiles auf deinem Desktop erstellt.
  • dds.txt
  • attach.txt
• Poste die beiden Logfile hier, möglichst in CODE-Tags.

Hallo und vielen Dank für die Antwort.

Hier ist der Log den ich zuvor mit GMER gemacht hatte.

GMER Logfile:
--- --- ---

Ich habe dann deine Schritte Punkt für Punkt befolgt.

Den Defogger habe ich wie beschrieben ausgeführt. Aber er hat keinen Logeintrag produziert. Er hat nur mit "Finish" bestätigt.

Dann habe ich das aswMBR Log erstellt.



TDSSKiller

3 Dateien wurden geskipped. Sie scheinen aber nichts mit einem potenziellen Rootkit zu tun zu haben? AMD Raid ist mir bekannt, das AsSysCtrlService scheint der Überwachung vom ASUS Motherboard zu dienen. Das FirebirdServerMAGIXInstance sagt mir auch was. Ich habe mir kürzlich MAGIX Musikmaker gekauft und da kann ich mir Soundpools downloaden. Vielleicht hat es was damit zu tun?

Leider wird hier vom TDSS der Fund von GMER nicht bestätigt. Ich vermute jedoch dass GMER weiter oben voll ins Schwarze getroffen hat?


Und zum Schluss die restlichen Logs

DDS+
DDS Logfile:
DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---

--- --- ---

Du hast mehrere VIrenscanner laufen:


Schritt 1: (Erinnerung: Antworte mir erst, wenn du alle Schritte abgearbeitet hast!)
Entferne einen der Virenscanner. Safensoft kenne ich nicht, ich persönlich würde daher das entfernen. Aber deine Entscheidung.


Schritt 2:
Windows-Defender abschalten

Da du einen anderen Virenscanner benutzt solltest du dringend den windowseigenen Scanner abschalten:

• Gehe in die Systemsteuerung und klicke auf Windows Defender.
• Klicke Extras > Optionen.
• Administratoroptionen > Haken entfernen bei Windows Defender verwenden.
• Bestätige und schliesse alle offenen Fenster.

Mehr zu den Hintergründen und einer tieferen Deaktivierung: LINK


Schritt 3:
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

• WICHTIG: Speichere Combofix auf deinem Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen.
• Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Habe alles wie beschrieben ausgeführt. Sämtliche Antivirussoftware samt Defender deaktiviert und dann ComboFix laufen lassen.

Habe anschliessend die Antivirensoftware wieder aktiviert. Nur Kaspersky.

Ich hab das Lan Kabel wieder angesteckt und das Betriebssystem war gerade dabei den Fehler mit der Lanverbindung zu beheben/die Verbindung wieder herzustellen. Da kam der blaue Fehlerbildschirm und es stand -crash dumb-. Windows Absturz. Bin mir aber nicht sicher ob das etwas mit dem Virus zu tun hat oder es ein Windows-eigener Fehler war?

Habe dann aus dem gesicherten Modus wieder gestartet und dann erneut hochgefahren. Die Lan Verbindung ließ sich jetzt herstellen. PC läuft jetzt wieder.

Hier das
ComboFix Log vor dem Absturz.

Combofix Logfile:
--- --- ---

Du hast immer noch 2 Virenscanner. Wir machen erst weiter, wenn du einen davon deinstalliert hast.

Er war deaktiviert, aber habe ihn am Besten komplett deinstalliert.

Nach dem Crash habe ich alle Schritte nochmal ausgeführt. Hier die Logs

DDS Logfile:
DDS Logfile:
--- --- ---

--- --- ---

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 2:

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte poste das Logfile hier oder teile mir mit, dass nichts gefunden wurde.

Hinweis: Der Scan kann sehr lange (einige Stunden) dauern! :kaffee:

Schritt 3:
Scan mit SecurityCheck

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Erstmal vielen Dank dass du dir an deinem, laut deiner Signatur, eigentlich freien Tag die Zeit genommen hast. Ich weiß es zu schätzen. :party:

Nun zu den Logs. Habe wieder alle Schritte abgearbeitet.


----
EDIT2

Habe nach weiterem lesen im Forum bemerkt dass ich GMER nie hätte mit meinem 64bit OS scannen/betreiben dürfen? Ist GMER nur für 32 bit Betriebssysteme? Dann ist es für mich wohl nutzlos und der gemachte LOG hier ist wertlos?

EDIT1

Habe zur Kontrolle abschliessend nochmal GMER aktuell gedownloaded und einen Scan machen lassen. Es zeigt leider etwas an im Log. Sind das Viren? Diese Dateien haben merkwürdige Zahlenkombinationen am Ende z.B. [1180:4576].

Nach dem Update von GMER läuft es auch auf 64bit.

Prima! :daumenhoc

Damit wären wir fertig. Wir räumen jetzt noch ein wenig auf und dann habe ich am Ende etwas Lesestoff für dich.

Schritt 1:
Tools deinstallieren

Die Reihenfolge ist hier entscheidend.

1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
2. Falls Combofix benutzt wurde:
   • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
   • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
   • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
3. Downloade Dir bitte auf jeden Fall delfix auf deinen Desktop:
   • Schließe alle offenen Programme.
   • Starte die delfix.exe mit einem Doppelklick.
   • Setze vor jede Funktion ein Häkchen.
   • Klicke auf Start.
   • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.

Schritt 2:
ESET deinstallieren (Optional)

Ich empfehle dir dein System einmal pro Woche mit ESET zu scannen. Möchtest du ESET aber entfernen:
Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen-Fenster und klicke OK.

Code:

---

"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"

---

Abschließend noch Tipps zu folgenden Themen:

• Systemupdates
• Softwareupdates
• Sicherheitssoftware
• Sicheres Surfen

Damit wünsche ich dir noch viel Spaß beim Surfen im Internet :daumenhoc

... und vielleicht möchtest du ja das Trojaner-Board unterstützen?

Eine Bitte: Gib mir eine kurze Rückmeldung, wenn alles erledigt ist und keine Fragen mehr vorhanden sind, damit ich diesen Thread aus meinen Abos löschen kann.

Habe wieder alle Schritte befolgt.

Anschliessend das update GMER runtergeladen von eurem Link. Habe zum Schluss nochmal GMER gestartet und diese Meldung bekommen.

GMER Logfile:
--- --- ---


Ist das in Ordnung?

Yo keine Auffälligkeiten

Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/