Trojaner-Board - Windows XP nach Rootkit und Fremdzugriff noch Infiziert?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Windows XP nach Rootkit und Fremdzugriff noch Infiziert? (https://www.trojaner-board.de/139487-windows-xp-rootkit-fremdzugriff-noch-infiziert.html)

Zitat:

und zwar die Keybtray.exe ist der Trojaner Crypt-426.
Dann 7x Malware.Packer.Gen, Trojan.FakeAV, Trojan.Patched und PUM.Hijack.Help

Und wer bitte behauptet das? Und wo soll das in deinen Logs zu sehen sein?

Das behauptet clamav, gmer und malwarebytes.

Bis dahin waren nur ein paar Dateien verschlüßelt aber gefunden wurde das nicht.
Habe erst seit heute ein LiveSystem auf Linux Basis, daß die gefundenen Plager anzeigt, nachdem der erste Trojaner aus dem RAM entladen wurde. Dafür gibt es noch kein Log, da keiner der Rechner noch am Netz ist.

Aber was sagst du zu den Gruppen? Und zu dem Benutzer VTRoot? Diesen finde ich auch nur unter Linux als versteckten Ordner, unter Windows zeigt es den Ordner nichtmal an obwohl es so eingestellt ist.

Zitat:

Das behauptet clamav, gmer und malwarebytes.

Schön. Und davon hast du kein einziges Log gepostet

Weil keiner der Rechner gerade am Netz ist...
Fahr gerade erst auf dem 2ten das Knoppix hoch und häng die Logs in ein paar min. an.

Und was sagst du zu meinen Fragen?

vtroot kenn ich nicht. Hast du mal irgendwas mit comodo gemacht?

Ja, habe ich.
Zum Testen habe ich Comodo AV und Firewall (glaube Version 6.?) installiert, da es gut abgeschnitten hat.
Wie kommst du gerade darauf?

Hier die Logs

ClamAV

Code:


 

Scan Started Tue Sep 10 20:28:00 2013
 

-------------------------------------------------------------------------------
 
 
 

 *** Scanning Programs in Computer Memory ***
 

 *** Memory Scan: using ToolHelp ***
 
 
 

Unloading program X:\i386\system32\keybtray.exe from memory
 
 
 

 *** Scanned 12 processes - 125 modules ***
 

 *** Computer Memory Scan Completed ***
 
 
 
 
 

X:\i386\system32\keybtray.exe: Trojan.Crypt-426 FOUND
 

----------- SCAN SUMMARY -----------
 

Known viruses: 1323895
 

Engine version: 0.97.6
 

Scanned directories: 0
 

Scanned files: 137
 

Infected files: 1
 
 
 

Data scanned: 44.86 MB
 

Data read: 0.00 MB (ratio 0.00:1)
 

Time: 27.000 sec (0 m 27 s)
 
 
 

--------------------------------------
 

Completed
 

--------------------------------------

Gmer

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2013-09-10 20:45:14

Windows 5.1.2600 

Running: G-MER.exe; Driver: B:\Temp\kwtdypog.sys
 
 

---- System - GMER 1.0.15 ----
 

INT 0x01        \SystemRoot\system32\drivers\dummy.sys                                      BBE8E7C0

INT 0x03        \SystemRoot\system32\drivers\dummy.sys                                      BBE8E7E0

INT 0x1F        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18FD0

INT 0x37        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18728

INT 0x3D        \I386\SYSTEM32\HALAACPI.DLL                                                 80A19B70

INT 0x41        \I386\SYSTEM32\HALAACPI.DLL                                                 80A199CC

INT 0x50        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18800

INT 0xC1        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18984

INT 0xD1        \I386\SYSTEM32\HALAACPI.DLL                                                 80A17D34

INT 0xE1        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18F0C

INT 0xE3        \I386\SYSTEM32\HALAACPI.DLL                                                 80A18C70

INT 0xFD        \I386\SYSTEM32\HALAACPI.DLL                                                 80A19464

INT 0xFE        \I386\SYSTEM32\HALAACPI.DLL                                                 80A19604
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               \I386\SYSTEM32\NTKRNLMP.EXE                                                 kernel module suspicious modification

?               \I386\SYSTEM32\NTKRNLMP.EXE                                                 The system cannot find the file specified. !
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                      dc_fsf.sys
 

Device          \Driver\ACPI_HAL \Device\0000000b                                           HALAACPI.DLL
 

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume1                                      dcrypt.sys

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume1                                      snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume1                                      hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume2                                      dcrypt.sys

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume2                                      snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume2                                      hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume3                                      dcrypt.sys

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume3                                      snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\ftdisk \Device\HarddiskVolume3                                      hotcore3.sys (A part of Paragon System Utilities/Paragon Software Group)

AttachedDevice  \FileSystem\Fastfat \Fat                                                    dc_fsf.sys

AttachedDevice  \FileSystem\Fastfat \Fat                                                    fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
 

---- Threads - GMER 1.0.15 ----
 

Thread          System [4:136]                                                              BAA13096
 

---- Files - GMER 1.0.15 ----
 

File            X:\$RECYCLE.BIN                                                             0 bytes

File            X:\$RECYCLE.BIN\S-1-5-18                                                    0 bytes

File            X:\$RECYCLE.BIN\S-1-5-18\desktop.ini                                        129 bytes

File            X:\$RECYCLE.BIN\S-1-5-21-2976617575-2962413363-2317055887-1000              0 bytes

File            X:\$RECYCLE.BIN\S-1-5-21-2976617575-2962413363-2317055887-1000\desktop.ini  129 bytes

File            X:\clamav_report_100913_202745.txt                                          225 bytes

File            X:\clamav_report_100913_202842.txt                                          779 bytes

File            X:\System Volume Information                                                0 bytes

File            X:\System Volume Information\MountPointManagerRemoteDatabase                0 bytes

File            X:\System Volume Information\tracking.log                                   20480 bytes
 

---- EOF - GMER 1.0.15 ----

Malwarebytes

Code:

ÿþM

Versuch gerade die Scanner unter dem Linux der Live-CD zum laufen zu bekommen.
Unter Mini XP ging es soweit, und die Dos Bootebene probier ich später noch (kann diese 3Varianten booten)

Zitat:

Wie kommst du gerade darauf?

Wenn du dich so sehr mit "vtroot" beschäftigt hast, wundert es mich doch sehr, dass du da nicht via Google drüber gestolpert bist.
Mal jetzt davon abgesehen wie schwachsinnig andere Firewalls sind und es nichts weiter als die Windows-Firewall bedarf.

Was steht da für ein Müll in deinem MBAM Log?

Oh oh, das waren wohl zuviele Infos auf einmal :D Sorry, war von Comodo, mein Fehler.
Hab da zu schnell hier geschrieben und dann erst in der Suchmaschine gefunden, daß dieser Ordner
angelegt wurde.

Da aber sehr viel gleich Infiziert ist und gerade von dort einiges kam, dacht ich, der Ordner selber wurde vom Schädling angelegt.

Mit der Firewall hast du voll und ganz recht, ich wollt eigentlich nur den Virenscanner aber hab Comodo mit FW drauf gehauen. Avira sollte einen besseren Nachfolger bekommen.

Das MBAM Log war eigentlich normal ausgefüllt aber diese Zeichen kamen jetz schon sau oft.
Sofern das Log überhaupt noch da ist, manche Logs sind auch wie von Geisterhand gelöscht... Ich nenn das mal um und versuch es nochmal

Wie auch immer, ich hab den Eindruck du bist ein bisschen paranoid und siehst Gespenster...
Eine Neuinstallation überlebt ein Schädling so nicht und BIOS-Manipulationen sind so extrem selten bzw unwahrscheinlich, dass man das nicht in Betracht ziehen muss

Ja, ein bisschen paranoid bin ich, das ist richtig aber aus gutem Grund!

Wie in den geposteten Logs zusehen ist, wurde ja durchaus was gefunden^^

Zum Test wurde auf den Systemen Win7 installiert und die Logfiles waren sehr interessant.
Das Posten davon ist immer schwieriger geworden, da immer wenn ich etwas kopiere oder mit anderem BS starte, immer dieses Zeichen wie im Malwarebytes Code gepostet erscheint.

Da erste Logfiles schon von 2010 aufgetaucht sind, ist dieser Artikel sehr interessant ->
hxxp://www.pc-magazin.de/news/neuer-virus-infiziert-rechner-per-bios-1177178.html

Einige Ausführungen kamen ja von NT-Autorität\System, was darauf hindeutete, daß sich der Schädling die Höchsten Rechte vom System aneignete.
Dieses sieht man auch erst nach Logen von allen Ausführungen unter Windows!

XP wurde jetzt auch komplett Verbannt und neue Lizenzen aktueller Software gekauft.

Viele User wissen bestimmt nicht einmal, das ihr System infiziert ist, selbst wenn es eindeutig ist.

Hier ein paar Logs, die nach löschen des Ram´s und Killen des Cmos Speichers, formatieren der Festplatte und Win-Neuinstallation noch vorhanden sind !

"Das Gerät (Unbekannt Unbekannt) wird nicht für ein Ready Boostcache verwendet, da es ein System Volume enthält"

"C\Windows\System32\Winlogon.exe (37L4247F27-08) hat Neustart von Computer Win... (Name nach Neuinstallierung) für Benutzer NT-Autorität\System aus folgendem Grund initialisiert: Betriebssystem Aktualisierung - Begründungscode: 0x80020003 -> Neustart"

"Dem Computer wurde vom DHCP-Server keine Adresse für die Netzwerkkarte 0x00... zugewiesen. Fehler 0x79. Der Computer versucht weiterhin selbstständig eine Adresse vom Netzwerkadress Server abzurufen"

Ich bitte darum mich nicht hinzustellen, als sehe ich Gespenster, sondern den Usern zuhelfen, die das selbe Problem haben.

Das in den Logfiles geschriebene, hab ich mit 3!!! sauberen Systemen verglichen, da ist dieses nicht vorhanden.

Viele Grüße

Zitat:

Ich bitte darum mich nicht hinzustellen, als sehe ich Gespenster, sondern den Usern zuhelfen, die das selbe Problem haben.

Tust du aber doch. Die letzten drei Meldungen die du gepostet hast sind so mal wieder keine Indizien für aktive malware.
Bevor du deinen Malware-Tunnelblick noch weiter vertiefst würde ich dir dringend empfehlen, mal die Hardware zu checken.

Nun gut, ich werd heut Abend/Nacht nochmal ein Log einfügen was evtl. mehr aufschluß gibt.

In dem sieht man auch, daß ein Konto NT-Autorität\System erstellt wird und Dateien ausführt ohne Eingabeprompt vom Benutzer (gleich nach Neuinstallation)

Und bei anderen seh ich auch die ".exe" von Absolute Software Corp. unter "C:\Windows\system32\rpcnetp.exe", die ja schon in gewissen Foren genannt wurde, die nicht so schwer zu Manipulation geeignet ist.

zum Beispiel auch hier?

http://www.trojaner-board.de/141994-...sgelastet.html

oder z.B. hier ?

http://www.trojaner-board.de/141961-...-virus-xp.html

die Meldung von 2009 darüber

hxxp://www.heise.de/security/meldung/Sicherheitsexperten-warnen-vor-BIOS-Rootkit-749361.html

Aber ok, ich bin wohl doch Paranoid und denke mir kann hier nicht weitergeholfen werden.
Vielen Dank trotzdem der Mühe

Deagle

Ich fasse mal kurz zusammen. Dieser Thread wurde vor fast zwei Monaten eröffnet. Du hast dir zwischendurch tw. auch immer recht viel Zeit gelassen, so dass keiner genau wusste was genau passiert ist.

Davor wurden dein Systeme schon mal von einem Helfer untersucht. was genau hat ryder festgestellt?

Bevor du Sachen wir BIOS-Schädlinge in den Mund nimmst, solltest du dich ernsthaft fragen ob du wirklich alles richtig bei den Neuinstallationen gemacht hast. Und es fängt schon bei einer originalen Windows-CD/DVD an. Und wie ich vorher andeutete, kann man diverse merkwürdige Seiteneffekte bei kaputter Hardware haben.

Zitat:

Aber ok, ich bin wohl doch Paranoid und denke mir kann hier nicht weitergeholfen werden.

Du propelst jedenfalls schon seit Wochen herum, wirklich herumgekommen ist noch nichts. Wenn du meinst durch deinen Input kann man dir per Forum nicht helfen, dann wäre eine PC-Werkstatt vllt (nochmal) was für dich

Kurze Rückinfo.

Du hattest recht, Hardwareproblem. Biosbaustein ausgetauscht, Ram ersetzt, und mit zum Teil alter Hardware
den Rechner neu bestückt -> Problem gelöst.

Problem nannte sich Mebromi und hat nun endlich einen Namen bekommen.

^^
Danke für die Hilfe, hier kann zugemacht werden

Wirklich Mebromi? Wer genau hat das festgestellt?