Windows detected hard disc error - GMer meldet SSDT Rootkit
 

Folgende Situation:

• Window Vista 32 Bit aktueller Softwarestand
• Avira Free Antivirus zuletzt gestern Morgen upgedated

Zwei User – ich selbst mit Adminrechten
Meine Frau – nur User ohne Adminrechte

Nach dem Surfen auf unverfänglich wirkenden Seiten (Wordpress Themes) gestern abend poppten bei meiner Frau unzählige Fenster hintereinander auf, die uns weismachen wollten es gäbe einen „Windows meldet Hard Disc Error“.

Derselbe Effekt trat auch nach dem Herunterfahren und Wiederanmelden von ihr auf. Dabei war das eigentlich eingestellte Hintergrundbild nicht mehr zu sehen.

Melde ich mich an meinem Account (mit Adminrechten) an, tritt der Effekt bisher nicht auf.

Avira Free Antivirus meldet lediglich EXP/JAVA.Niabil.Gen bei einem Fullscan. Diesen Exploit in die Quarantäne verschoben.

Anschliessende Ausfühung sowohl des „Microsoft® Windows®-Tool zum Entfernen bösartiger Software“ hxxp://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356 als auch von Spybot (aktuelle Release) zeigen ebenfalls keine weitere Schadsoftware mehr an.
Da ich vermute, dass sich die Schadsoftware nach dem Anmelden meiner Frau auf ihrem Account aktiviert, habe ich auch die Autostart und Registry Einträge \....Microsoft\Windows\Run und RunOnce für alle User geprüft. Dabei aber auf den ersten Blick nichts ungewöhnliches festgestellt.


Die obligaten drei Dateien DDS.txt, Attach.txt und Gmer.txt habe ich angehängt. Gmer hat offenbar ein SSDT Rootkit (?) gefunden.

Bitte um Hilfe. Danke!

Zwei weitere Fragen/Hinweise:

• Bringt der Versuch einer Systemwiederherstellung über Windows etwas?
• Ich habe die c't Desinfect 8/2011 bootfähige DVD hier. Allerdings noch nicht angewendet.

hi,
gmer log ist in ordnung.
starte mal neu, f8 drücken abgesicherter modus mit netzwerk wählen, im konto deiner frau anmelden.
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die
  OTL.exe
  .
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
  Textbox.

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere
  nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hier die beiden Ergebnisdateien als Anhang

OTL.TXT und Extra.TXT

Username durch *** ersetzt.

Das einzige was mir schon auffiel ist die Datei [2012.02.27 22:46:16 | 000,451,072 | ---- | M] (Lioft) -- C:\ProgramData\tOFFLgOBqA.exe
Das Änderungsdatum lag zumindest im Zeitraum wo die Störung in etwa aufgetreten ist. Nach 22.00 und sicher vor Mitternacht.

hi


dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.


• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.





• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)



lade unhide:
http://filepony.de/download-unhide/
doppelklicken, dateien werden sichtbar

So. Script für OTL ist ausgeführt, die verdächtige Datei las Movedfiles.Zip hochgeladen. Unhide ausgeführt mit folgendem Ergebnis

danke für den upload.

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.

• Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
  Tool
  
  Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  
• Hinweis:
  Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  
• Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

So, Combofix ist auch durchgelaufen. Logdatei im Anhang

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Malwarebytes Ergebnis
 

Auch Malwarebytes ist erfolgreich durchgelaufen und hat wohl nur die eine schon aus dem OTL-Lauf bekannte Datei gefunden.

Für heute verabschiede und bedanke ich mich :)

hi,
na das sieht doch gut aus, oder sind noch probleme festzustellen?

lade den CCleaner standard:
CCleaner Download - CCleaner 3.16.1666
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

Nein, soweit ich bisher feststellen konnte, läuft er wieder normal :)

Die Liste der installierten Programme kann ich heute abend posten.

So anbei die Programmliste. Ein paar ältere Programmversionen, Xp-Antispy und ein paar andere könnten raus.
Bei den MS C+ Komponenten bin ich nicht sicher, welches Programm die ggf. verwendet.

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok



deinstaliere:
Java
Download der kostenlosen Java-Software
downloade java jre, instaleiren.

deinstaliere:
PDFCreator Toolbar
Spybot
Windows Live Essentials du hast bereits ne av software, also unnötig :-)

öffne otl, bereinigen neustart.
öffne ccleaner analysieren bereinigen neustart.
testen ob alles nach wunsch läuft

So, soweit auch dies durchgeführt. Außer Windows Live Essentials, das wird ja für den Messenger offenbar benötigt und lässt sich so nicht deinstallieren.

Unhide hat wohl etwas zuviel Arbeit geleistet und auch den Bootmanager im C.\ Verzechnis sichtbar gemacht. Die Dateien am besten aller wieder "verstecken"?

Ich habe die ominöse Datei einmal von einem anderen Rechner durch einen "Onlinemultivirenscanner" gejagt. Nicht ganz die Hälfte hat die Datei als Schadsoftware erkannt :rolleyes:

nö, es ist eig immer besser alles auf dem pc zu sehen.
läuft wieder alles wie gewohnt?