Trojaner-Board - Brauch da mal Hilfe hab vermutlich nen Rootkit

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Brauch da mal Hilfe hab vermutlich nen Rootkit (https://www.trojaner-board.de/72515-brauch-mal-hilfe-hab-vermutlich-nen-rootkit.html)

Brauch da mal Hilfe hab vermutlich nen Rootkit

I 03:24:30 ImgBurn Version 2.4.2.0 started!
I 03:24:30 Microsoft Windows XP Home Edition (5.1, Build 2600 : Service Pack 2)
I 03:24:30 Total Physical Memory: 523.248 KB - Available: 158.532 KB
I 03:24:30 Initialising SPTI...
I 03:24:30 Searching for SCSI / ATAPI devices...
E 03:24:33 CreateFile Failed! - Device: '\\.\CdRom0' (E:)
E 03:24:33 Reason: Die maximale Anzahl der Kennwörter, die in einem einzelnen System gespeichert werden können, wurde überschritten.
W 03:24:33 Errors were encountered when trying to access a drive.
W 03:24:33 This drive will not be visible in the program.
W 03:24:33 No devices detected!

Und bei Google hab ich das Problem jedesmal wenn ich eine Seite im neuen Tab (firefox) aufmachen will kommen erst 2-3 werbeseiten dann noch eine 404 fehler seite von google und dann erst die seite

Hijackthis LOG

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:15:30, on 28.04.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\Programme\Avira\AntiVir Desktop\avgnt.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Winamp\winampa.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\SlySoft\CloneCD\CloneCDTray.exe

C:\Programme\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programme\Avira\AntiVir Desktop\avguard.exe

C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Trillian\trillian.exe

C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe

C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE

C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE

C:\Programme\Vuze\Azureus.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\notepad.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4956A007-F4FB-4A9A-A790-F61F69B5E60B}: NameServer = 192.168.2.1

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: __c009ED23 - C:\WINDOWS\system32\__c009ED23.dat

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 5945 bytes

MBR LOG

Code:

Microsoft Windows XP [Version 5.1.2600]

(C) Copyright 1985-2001 Microsoft Corp.
 

C:\Dokumente und Einstellungen\*>"C:\Dokumente und Einstellungen\*\Eigen

e Dateien\mbr.exe"

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: error reading MBR

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\atapi -> 0x823d61e8
 
 

C:\Dokumente und Einstellungen\*>

Malwarebytes LOG

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2051

Windows 5.1.2600 Service Pack 2
 

28.04.2009 03:58:40

mbam-log-2009-04-28 (03-58-40).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 174168

Laufzeit: 22 minute(s), 55 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 2

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 4

Infizierte Verzeichnisse: 0

Infizierte Dateien: 12
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\system32\__c002C2C2.dat (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\__c009ED23.dat (Trojan.Agent) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c009ed23 (Trojan.Vundo) -> Delete on reboot.
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\system32\loader266.exe (Trojan.Agent) -> Quarantined and deleted successfully.

D:\Software\nero\NERO_8.x.KeyGen\keygen.exe (Trojan.Agent) -> Not selected for removal.

C:\WINDOWS\Tasks\Antispyware Scheduled Scan.job (Rogue.Antispyware) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\_A00F92966D.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\_A00FE1B15.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ftp_non_crp.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\__c009ED23.dat (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\system32\__c002C2C2.dat (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\p2hhr.bat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\winglsetup.exe (Trojan.Downloader) -> Quarantined and deleted successful

Danke schonmal für eure hilfe weiss nun selber langsam nicht mehr wonach ich suchen soll seh denn wald vor lauter bäumen nicht mehr ich lösche jetzt mit absicht nix nicht das ich mir dadurch nacher denn weg zur bereinigung verbaue hab nämlich keine lust das system neu aufzusetzen

Hallöle.

Du hast dir Nero und sonstigen Scheiß aus dem Netz gesogen.
Die Dateien die du dort bekommst sind fast immer verseucht. Das ist bekannt.
Rettung für deinen Rechner gibt es leider keine mehr da der Angreifer Vollzugriff auf deinen Rechner hat. Setze ihn neu auf und lass' in Zukunft die Finger von solchen Dateien.

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record reparieren:

Vista:

Um die Wiederherstellungskonsole zu starten, einfach die Windows Vista DVD in das Laufwerk legen und davon booten.
Nach kurzer Zeit wird nach den gewünschten Länder und Spracheinstellungen gefragt.

Im anschließenden Fenster kann man über den Eintrag "Systemwiederherstellungsoptionen" die Wiederherstellungskonsole öffnen.

Durch klicken auf "Weiter" wird Windows veranlasst nach gültigen Windows Installationen auf der Festplatte zu suchen. Anschließend wird eine Liste der gefundenen Installationen zur Auswahl angezeigt.

Nach der Auswahl der gewünschten Windows-Version wird ein neues Fenster geöffnet welches die folgenden Möglichkeiten anbietet:

- Systemreparatur: Automatisches Reparieren von Windows Startproblemen (Bootsector usw.)
- Systemwiederherstellung: Herstellen von Windows über vorhandene Wiederherstellungspunkte
- Windows Komplett Wiederherstellung: Komplettes wiederherstellen eines Windows-Backups
- Windows Speicher Diagnose Tool: Arbeitsspeicher auf Fehler überprüfen (Neustart erforderlich)
- Eingabeaufforderung: Kommandozeile/Eingabeaufforderung

Öffne die Eingabeaufforderung, gib Bootrec.exe ein drücke Enter.

Wähle die /FixMBR Option. fixmbr reinschreiben und Enter drücken.

XP:

Um die Wiederherstellungskonsole zu starten, einfach die Windows XP CD in das Laufwerk legen und davon booten.. Wenn Ihr dazu aufgefordert werdet, wählt die erforderliche Optionen für den Start von der Installations-CD aus.
Wenn der textbasierte Teil von Setup startet, wählt die Option zum Reparieren oder Wiederherstellen, indem Ihr die Taste [R] drückt.
Gegebenfalls nun das Administratorkennwort eingeben.
Nun gelangt Ihr zur Eingabeaufforderung der Wiederherstellungskonsole.

Dort bitte den Befehl fixmbr eingeben und mit Enter bestätigen.

Um die Wiederherstellungskonsole zu beenden und den Computer neu zu starten, gebt Ihr 'exit' ein

Einen Personal Computer neuaufsetzen:

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!

Ok hab zwar mein Nero von dem Brenner aber egal werd dann wohl nun endgültig Windows denn rücken kehren :snyper: hab schnauze solangsam gestrichen voll von dem kram man muss dazu sagen das es nen WG rechner ist, zwar mein eigentum aber die anderen dürfen ihn nutzen naja haben die halt nun Pech gehabt wie man so schön sagt müssen die sich halt an Linux gewöhnen.

Zitat:

D:\Software\nero\NERO_8.x.KeyGen\keygen.exe

:rolleyes:

Wer sowas ausführt ist selber Schuld. Da steht ja praktisch drauf: "Ich bin ein Virus und möchte ausgeführt werden.."

PS:

Zitat:

zwar mein eigentum aber die anderen dürfen ihn nutzen

Das würde ich schleunigst ändern.

Ja ist auch bald geändert ;) ich hab eh meine 2te Platte drinne wo ich schon seit eh und je mit linux arbeite hatte dennen nur nen Windows system aufgesetzt weil das hier voll honks sind die es nicht mal gebacken bekommen unter linux ne cd zu brennen aber wenn ich das so lese na herzlichen dank da kann mir nacher mal einer was erklären bzw. 3 ;) warte nur drauf das die wach sind mal schauen was die dann sagen hab denn MBR zwar nun erstmal gefixt und bin selber auch mit Linux online aber trotzdem möcht ich gerne mal wissen warum die sowas runterladen (mich intressieren deren daten herzlich wenig aber sowas tzz hab doch original hier)

Werd trotzdem nacher mal versuchen das system zu retten wenns klappt haben die Spasselnacken glück wenn nicht Pech bekommen die nen User namen mit PW wo die maximal 4 GB speicher dürfen und auch keine rechte haben irgendwas zu installieren sowas nennt man denn Persönliches Pech :D

Edit

Wofür ausschlafen lassen..... das wird gleich lustig muss nur eben meine Gaströte aus dem Keller holen dann will ich mal wecken gehen hehe. Wenn ihr noch ne idee habt einfach raus damit ;)

Kann geschlossen werden.. Habs hinbekommen MBR gefixt dann über Linux nen Virenscan gemacht auf windows und noch auf rootkits gesucht system dürfte nun wieder halbwegs sicher sein (klingt gemein für die reicht es)

Der MBR-fix bereinigt keinesfalls dein System ! ! !

Das Rootkit bzw. andere schädliche Dateien sind mit Sicherheit noch vorhanden! Da würde ich wetten!

Setze den rechner neu auf!

Oder sage mir, dass wir eine Bereinigung versuchen wollen aber so bleiben kann der Rechner nicht!

Doch doch der ist sauber ;) hab die jungs einfach stumpf und trocken linux vorgesetzt und jedem nen 10GB WWW eingerichtet wer mehr braucht kann eine Externe Festplatte dran setzen :) ich hab genug platz :D

Sorry das ich nun erst schreibe aber im moment heist es viel arbeit wenig geld