GMER zeigt Rootkit, Laptop läuft ohne Programme auf 100%, nicht auszuschalten ...
 

Zunächst mal Herzlichen Dank für die Möglichkeit, das hier einzustellen:

Programme laufen zunächst immer langsamer, Lüfter aber volle Kanne und das Ding lässt sich manchmal nicht mehr ausschalten - so, als ob noch jemand anders damit arbeiten würde. Antivir und Spybot negativ, in der Ereignisanzeige dauert es Minuten, bis die Einträge mal sortiert sind. Häufigster dort: irgendwas mit CAPI 11 und 12, über das MS selber nicht genau bescheid weiß.

GMER zeigt an:

[Code/]
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-22 12:26:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys


---- System - GMER 1.0.15 ----

SSDT 950B3C9C ZwCreateThread
SSDT 950B3C88 ZwOpenProcess
SSDT 950B3C8D ZwOpenThread
SSDT 950B3C97 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}
.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]
.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)

---- EOF - GMER 1.0.15 ----


Ist da was dran? Nach 90 Min. googlen könnte es sein oder auch nicht:confused:

Wäre nett, wenn jemand sich der Frage annehmen könnte.

VG Monogram

PS. Vista-CD etc. ist hier nirgends.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi, vielen Dank erstmal für die Hinweise. Die habe ich partiell schon vorher abgearbeitet. Avira, Spybot, CCCleaner negativ. Die Logs von Malwarebytes und RSIT stehen hier: http://www.file-upload.net/download-...Laura.zip.html. Hauptproblem ist, dass das Ding manchmal so langsam ist, dass es nicht mal seine eigene Ereignisanzeige sortieren kann - manchmal läufts auch einigermassen, aber irgendwie bleibt der Eindruck fremder Aktivität. Vielen Dank und Viele Grüße Monogram

Bitte die Datei z1info ausfindig machen (wahrscheinlich liegt sie hier => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\z1info.exe) und bei Virustotal.com auswerten lassen. Bitte den Ergebnislink posten.

z1info ist nur das residuum einer abrechnungssoftware - demo. Wenn die das ist, wärs ein Brüller. Ansonsten mache ich es gleich. Danke Monogram

Ergebnis 0/41. Die hätte man aber längst mal löschen können :dummguck:

Lösch die Datei, wenn Du sie nicht mehr brauchst. Die steht im globalen Autostart drin.

Ist gelöscht, Performance nach Neustart unverändert ... schlecht

Kannst Du im Taskmanager oder Process Explorer nachsehen, welcher Prozess die Auslastung verursacht?

Wenn es an das Sortieren der Ereignisanzeige geht, mmc.exe. Im Task-Manager standen immer die üblichen Kandidaten, aber ich dachte eigentlich, es wäre die oberste Pflicht von Malware, da gerade nicht zu erscheinen ...:( Danke für den Hinweis auf den Process Explorer - das war wie einen alten Verwandten besuchen :)) - aber der zeigt auch nix anderes, und es erklärt nicht so ganz, warum das Ding immer volle Kanne läuft und sich nicht ausschalten lässt.

Vorsichtige Frage: War vielleicht noch was im Log? Oder könnte es auch mit diesem Ekelteil zusammenhängen, auf das MS auch keine Antwort hat: CAPI2

Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Danke, monogram

Hinweise hab ich da so nicht gesehen. mmc.exe ist die MS-Managementkonsole, kannst Du den Prozess beenden/killen und wenn ja, geht die Last runter?

mmc.exe abschalten hält auch das Ereignis-sortieren an - Fehlanzeige, leider.

Habe mir die Logfiles auch noch mal durchgesehen und verstehe folgende Sachen leider nicht:
Ist das ein Plattenfehler beim Controller?

Und dann hab ich ja noch immer dieses GMER-Log - wann immer da man etwas googelt, landet man bei Trojanern & Co.:

Vielen Dank, Monogram

Ein Plattenfehler könnte möglich sein. Du kannst ja mal von Western Digital das Tool WinDLG herunterladen und unter Windows die Platte testen.

Noch ein Tipp von Angel21:

C:\Windows\system32\DRIVERS\smserial.sys

Diese Datei bitte auch bei Virustotal.com auswerten und die Ergebnisse posten (wie bei der z1info... Datei)

Das scannen von smserial dauert ein wenig (wahrscheinlich freuen die sich jetzt über neue Seriennummern ;)

In der Zwischenzeit wollte ich nochmal fragen, was das Zeug in GMER eigentlich zu bedeuten hat ...

PS Platte ist ne Hitachi, läuft nicht mit WD-Diagnostik, und die Sachen auf deren Homepage sind ... naja ... :(

Datei smserial.sys empfangen 2009.12.23 14:25:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)

Negativ!

VG Monogram

Doch, das Tool WinDLG sollte auch die anderen Platten testen können...hab ich selber erst vor einigen Tagen gemacht.

WinDLG kann zumindest den SMART-Status auswerfen - und der ist ok. Man muss es nur als Administrator ausführen - Sch...Vista. Die Einzeltests klappen nicht.

Also immer noch der komische GMER-Eintrag - ist das jetzt was oder nicht?

GMER war IMHO ok. Was macht die Auswertung der smserial?

0/41. s.u. smserial war also scheinbar OK.

Was ist das dann für ein Zeug, das in GMER drinsteht? Bei Ausrufezeichen werde ich immer so aufmerksam ... Und was ist dieser komische acehlp Driver, der ausführbar sein soll?

Langsam wirds doch Weihnachten ;)

Ich glaub das alles im Detail zu erläutern geht zu weit :D
ntkrnlpa.exe ist jedenfalls ein essentieller Bestandteil von Windows. Beim Scannen hat GMER Dir aber nicht soeine Meldung gezeigt oder?

Entschuldigt bitte, wenn ich mal einklinke - vielleicht hilfts ja.
Vor ein paar Tagen - XP-prof.-Client. Gleiches Problem in der Firma (100% Prozzi-Last). Die Kiste hat sich als Spam-Schleuder herausgestellt. Sendet Massenmails zu Viagra, bis zu 1000 St/Stunde (Routerprotokoll). Kiste sofort vom Netz genommen, Prozzi-Last geht runter (schwankend von 0 bis 50%). Installierter Kaspersky merkt absolut nichts.
3 weitere Win-Virenscanner (Avira, AVG, Comodo) finden nichts. Avira rescue-Cd (Linux) findet nichts. PartPE-CD mit Kaspersky findet nichts. Malwarebyte, A-squared und Spybot finden nichts.
Wieder installierten Kasperky auf extrem empfindlich eingestellt, wieder an's Netz genommen. Jetzt merkt der was und meldet Massenmailer - kann den aber nicht dauerhaft blocken, da dieses Mistvieh von Massenmailer die Services.exe benutzt. Wieder vom Netz genommen. Services.exe und svchost.exe per BartPE-CD erst geprüft (Originalzustand) und vorsichtshalber durch Originale ersetzt.
Prozess-Explorer zeigt nichts verdächtiges an, daher:

Gmer angeworfen. Im Reiter "Services" einen Service gefunden "ohne Namen" mit Option "BOOT". Service erst deaktiviert und danach gelöscht. Kiste probeweise wieder an's Netz - sendet nicht mehr, keine unkontrollierte Netzwerkaktivität und Prozessorlast im Leerlauf 0-2%.

Kiste wird geplättet - sicher ist sicher. Trotzdem suche ich "rein aus Neugier" über die Feiertage noch weiter. Ich will den Sauhund erwischen :snyper:

gruß +schöne Feiertage

@ Arne/cosinus:

Nochmal alles vom Netz getrennt etc. und GMER laufen lassen (hing beim ersten Mal nach 20 Min.). Resultat (Deswegen die Auszeit):

Scheint also nicht so zu sein, dass da was ist, oder? Aber warum die Ausrufezeichen, warum section is executable?

@ Bullabeiser: Bitte halte mich auf dem Laufenden, klingt ziemlich abgefahren ...

Mein nächster Schritt: Das da

Aber erst nach den Feiertagen - hab gerade "die Schnauze voll"

PS.: ich hab die Datei c:\windows\system32\ndis.sys in konkretem verdacht.

ndis.sys - glaub ich nicht wirklich, dass die dran schuld soll.
@monogram, Du kannst sie ja trotzdem mal bei Virustotal.com auswerten lassen.
Was Bullabeiser da ansprach, hast Du auch "unkontrollierten" Traffic? Blinkt die Traffic-LED des Modems permanent?

@ Arne/cosinus
Vielen Dank. Traffic kann ich so nicht kontrollieren - war der erste in meiner damaligen Siedlung, bei dem DSL lief, und jetzt hab ich nicht mal mehr einen Anzeiger dafür:singsing:

Was mich eigentlich nur interessieren würde: Zeigt das Gequake in GMER jetzt was an oder nicht? Die von Dir zitierten Warnungen hab ich jedenfalls nicht gesehen. http://www2.gmer.net/gmer.jpg

Und Combofix wäre jetzt die sechste ungeprüfte Software, die ich zum Ausbügeln eines mutmaßlichen Rootkits installieren müsste ...:confused:

Du kannst am Modem oder Router direkt schaun.

Ich hab schonmal erwähnt, dass das GMER Logfile ok ist.

CF kann einem aber die Arbeit ungemein erleichtern. Halte Dich aber unbedingt an folgende Anleitung!!!

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Lieber Arne,

der Router wird über einen Win98 SP2 Uralt Aldi Laptop gesteuert, den ich nur alle Jubeljahre mal anschmeisse. Bis jetzt lief das ohne Probleme (letztes Hardware-Update so vor 1 a). Das mag ich heute nicht mehr aufmachen, bin schon am Kofferpacken. Gibts irgendein Tool zum anzeigen Traffic am PC? Seitdem ich wireless console habe, bewegt sich da nix mehr.

Wenn Du sagst, in GMER ist nichts, dann ist da nichts. OK, Vielen herzlichen Dank.

Vielleicht ist der Rechner nach 23 Monaten einfach schon zu alt :heilig:

Fröhliche Weihnachten wünscht Dir monogram :dankeschoen:

Was ist denn das für eine Konfig? :D
Am Router ist normalerweise JEDER PC dran, dann kannst Du den auch von Deinem jetzigen Rechner aus erreichen.
Ich wollte aber eigentlich, dass Du Dir den Router bzw. das Modem direkt anschaust und auf die LEDs achtest.