|
RootKit Problem Guten Abend Dies ist mein erstes Thema und ich hoffe ich mach alles richtig Ich hab das folgende Problem und zwar ein sehr großes Ich habe, glaube ich, ein RootKit eingefangen :( Gestern als ich avast! durchlaufen ließ hat er ein RootKit gefunden die ich gelöscht hab. Heut Mittag (bis dahin hatte ich den PC nicht eingeschaltet) ging der PC nicht an sondern ist bei "Willkommen" nach der Passworteingabe hängengeblieben. (Ich habe XP SP2). Erst als ich eine Stunde lang im Bios gefummelt hab ging der an(Ich mache Praktikum bei PC++ wo ich etwas Erfahrung habe). Nun ja nicht mal der abgesicherte Modus hat geklappt. Auf jeden Fall 5 Minuten nach dem Start hat avast 2 RootKits gefunden, die ich widerrum gelöscht hab und 3 Internetseiten geblockt. Der PC ist 30 Minuten danach von neu gestartet (von allein). Nach dem Einschalten kam eine Fehlermeldung das ich einen Virusschutz kaufen soll und ging nicht mehr weg( es hat sogar von allein eins versucht herunterzuladen, das habe ich jedoch sofort abgebrochen). Mein avast! ward dann auch geblockt 0 Provider Aktiv. Ich habe GMER heruntergeladen was sich nicht öffnen ließ, weshalb ich es gelöscht hab. Dann ist explorer.exe abgestürzt (glaub ich mal) und jetzt ist nichts mehr aktiv außer Audio. Ich habe GMER wiederhergestellt und habe es umbennant in xD mit was es sich dann öffnen ließ. Ausversehen hab ich da ein paar Sachen von Systems und Sections mit der rechten Maustaste entfernt und mache jetzt grad ein kommpletten Scan mit GMER. Ich hoffe mir kann jemand helfen Hier vor einem oder 2 Monaten der Bericht Code: Logfile of Trend Micro HijackThis v2.0.2Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:00:13, on 16.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Java\java6u16\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\java6u16\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schnellsucher.com/?t=Q0907241719&s=h R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.mcilker.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe, O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\java6u16\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\java6u16\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\java6u16\bin\jusched.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: ChkDisk.dll O4 - Startup: ChkDisk.lnk = ? O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab O16 - DPF: {4BFD075D-C36E-4F28-BB0A-5D472795197A} (PowerLoader Class) - http://powersoccer.spielen.com/applet/PowerLoader.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab O16 - DPF: {58EF1388-AF07-4D13-A069-D107671B8819} - http://www.gamegarden.net/game/ggsecure.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab O16 - DPF: {990D211C-FBA4-47FB-A764-A2D7A78A79E4} (SecureLogin) - http://www.gamegarden.net/game/ggsecure.cab O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB63} (Flatcast Producer 4.16) - http://80.237.209.20/objects/NpFp41629.dll O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://www.yayindayiz.biz/yayin/ampx2.6.1.11_en_dl.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.stardialer.de/StarInstall.ocx O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://controls.flatcast-data.com/data/objects/NpFv41629.dll O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F557} (Flatcast Viewer 5.0) - http://data.flatcast.com/data/objects/NpFv501.dll O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\java6u16\bin\jqs.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe -- End of file - 10309 bytes GMER Scan folgt noch |
Hi Samet93 und :hallo: Deine Beschreibung hört sich ja nicht allzu toll an! Code: F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe,Entweder ist es eine Variante eines ZBots oder, was ich in deinem Fal eher vermute, ein Trojaner namens FakeAlert, der für die "Virenwarnungen" verantwortlich ist. Weiterer Schädling: Code: O4 - Startup: ChkDisk.dllhttp://www.trojaner-board.de/69886-a...-beachten.html Poste alle anfallenden Logfiles bitte hier! Befolge außerdem bitte folgende Anleitung: http://www.trojaner-board.de/74908-a...t-scanner.html Poste bitte auch das Logfile. Viel Erfolg! Gruß Handball10 **************EDIT Was und wo wurde denn etwas von Avast! gefunden? Poste bitte das Logfile. ************************ |
Danke für die schnelle Antwort!!! Hier die Berichte von Avast Fehler: Code: 16.09.2009 22:36:14 Ramazan Ulucay 3688 Error in aswChestC: chestOpenList Error 1753. Code: 12.09.2009 12:15:21 Ramazan Ulucay 1192 Sign of "HTML:SkinTrim-A [Trj]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\download[1].php.vir" file. Code: 15.09.2009 22:41:36 SYSTEM 1276 The virus database (VPS 090915-0) was automatically updated. |
Na viel Spaß, Code: 12.09.2009 12:15:21 Ramazan Ulucay 1192 Sign of "HTML:SkinTrim-A [Trj]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\download[1].php.vir" file. Ich würde dir hier an der Stelle schon mal empfehlen, deine Windows-CD rauszukramen... So würde es auf jeden Fall schneller und sicherer sein. Gruß Handball10 |
Geht das nicht anders.... Ist ja nichtt mein PC sondern der meines Vaters Ich weiß sieht schlimm aus aber kannst du nicht helfen? |
Zitat:
- Sicherer - Schneller - Wenn die Avastfunde so stimmen, dann wäre es das Beste. Sehen wir mal mit den Logs. Ich würde es versuchen. Würde mal sagen, du scannst noch mit GMER und MalwareBytes, stelltst die Logs hier rein, ich sehe mir das morgen an und dann schaun wir weiter. Gruß Handball10 |
Teil1 Code: GMER 1.0.15.15087 - http://www.gmer.net |
Teil 2 Code: ---- Devices - GMER 1.0.15 ---- |
Hier der zweite Lauf von GMER Code: GMER 1.0.15.15087 - http://www.gmer.net |
Code: ---- Services - GMER 1.0.15 ---- |
Windows XP RootKit Problem - HijackThis.de Support Board Crossposting, bitte entscheide dich für EIN Board. Welches willst Du wählen? Da bei Crossposting die Komplikation besteht das zwei unabhängige Helfer Nicht voneinander wissen, wie sie handeln, würde ich Dich bitten darum ein einziges Board auszuwählen. Zwei verschiedene unabhängige Helfer bedetet: Zwei verschiedene Lösungswege. Dies hat zur Bedeutung, dass die Lösungen unterschiedlich sind, aber die zwei helfer irgendwann irritiert sind, was an deinem PC gemacht wird. Da es irgendwann auffällt, dass da noch eine "zweite andere Hand" dabei ist. Welches möchtest Du wählen? |
Oh ok dann lösch ich da mal den Thema Danke für den Hinweis Aber jetzt kommt noch ein Fehler und zwar der PC stürzt ab wenn er im Internet ist :( Hier mal der Malwarebytes Bericht Code: Malwarebytes' Anti-Malware 1.41 |
:eek: Code: C:\WINDOWS\system32\dllcache\beep.sys (Trojan.KillAV) -> No action taken.Du hast da ja einen schönen Zoo gehabt! Von Rootkits über FakeAlert, Downloader und KillAV. Für meine Begriffe solltest du schnellstmöglich neuaufsetzen. Die beiden fett markierten sind ganz wichtig: Stolen.Data → Ändere schnellstmöglich von einem sauberen PC aus alle Passwörter, Online-Banking-Zugangsdaten etc... Hier eine Anleitung zum neuaufsetzen: http://www.trojaner-board.de/51262-a...sicherung.html Viel Erfolg! Gruß Handball10 |
Ja ich denke das wäre die beste Lösung Vielen dank an handball10 und macht keine Fehler wie ich und ladet was bei RS runter!!!! mfg Samet93 -closed- |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board