Windows XP nach Rootkit und Fremdzugriff noch Infiziert?
 

Hallo nochmal an dieser Stelle :)

Wurde von ryder zu Euch verwiesen, vielleicht bin ich jetzt hier richtig und komm dem Problem auf den Grund.

Es handelt sich um 3! Systeme, die am gleichen Netzwerk waren. Infos noch zu dem System, von dem die Logfiles waren.
Windows XP mit Service Pack 3, MB (glaub Asus) mit Nforce2 Chip(nF430/ onboard GF 6150SE),
läuft aber mit Ati Radeon X1300, 1GB Ram, Dualcore AMD 64x2 3600+, Realtek HD-Audio.

Hoffe das reicht soweit?

Habe das Problem, daß trotz Formatierung und Neuinstallation, Windows immer noch nicht frei von Problemen ist. Einige Dateien, die von einem Windows Dienst gestartet wurden, haben statt Ihrem Namen jetzt srv als Endung.

Hatte dieses Problem einer von Euch schonmal?

Danke schonmal vorab.

http://www.trojaner-board.de/139396-...matierung.html
.

Hallo,

Geht das auch ein bisschen konkreter?
Von welchem Dienst und von welchen Dateien genau ist da die Rede?

So,sorry für die späte Rückmeldung...
Der Router war wohl auch nicht ohne Fehler -.- Das Online gehen war fast unmöglich, mit Ladezeiten
von 20-30min.

Es handelt sich um mehrere Dateien,einige sind z.B. Spoolersvc.exe, statt nur Spooler, juschedsvc.exe,
SDFSSvc.exe und SDUpdSvc.exe um ein paar zu nennen.
Leider sind das aber nicht die Einzigen...

Ich frag mich auch wie es möglich ist, daß dieser Plagegeist nach Formatierung noch lebt?
Also von der Platte in den Ram und wieder zurück? Dachte immer, sowas funktioniert nicht.

Achso, einige von den Dateien sind nur Zahlen mit .exe Endung und werden von svchost gestartet, der ja eigentlich ein Windows Dienst ist.

Wie kann ich nun dem Ganzen entgegen wirken?

Du kannst Hardwareprobleme ausschließen? Läuft der Rechner zB mit einem Live-Linux normal?

Was heißt normal :) Sind ja leider 3Systeme befallen und wenn ich per Live System boote, funktioniert das immer erst beim 3ten bis 4ten Starten. Da ist es auch egal, ob ich von Linux oder Windows Liveboot starte.

Zusätzlich kommt die Linux Live auch nicht wirklich mit 8GB Ram klar und wird nach ein paar min. nutzlos (also bei einem der 3 Rechner)

Kann denke ich Hardwarefehler zum größten Teil ausschließen.

Geh nicht gleich direkt noch von einem Befall aus. Du hast formatiert, da ist ein Befall unwahrscheinlich

Ist bei ALLEN drei Geräten das gleiche zu beobachten auch hinsichtlich des Booten von einem Live-Linux?

Syr aber das ist Quatsch. Linux kann sehr wohl 8 GB und mehr verwalten.
Wie kommst du zu dieser Aussage?

Abgesehen davon würde ich es begrüßen, wenn wir uns hier erstmal nur auf einen Rechner konzentrieren können und nicht alle drei auf einmal, damit wir beide wissen über welches System wir hier eigentlich reden.

Naja, ich geh vom Befall aus, weil bei allen 3Systemen ein Remotezugriff stattfand.

Unformatiert sah das System nur auf den ersten Blick gut aus, war aber statt "C:/Windows" - "C:/Virus mit Sicht auf Windows. Das hab ich erst nach einigen Scans gesehen, daß Originale .exe Dateien auf einmal nur .lnk Dateien waren. Vor dem Formatieren war alles drauf - Würmer, Trojaner, Viren, Backdoor mit Rootkit funktion usw.
Aus diesem Grund war nur Formatieren eine Option. Nach dem Format war die Backdoor mit Root aber trotzdem nach kurzer Zeit wieder aktiv und seit dem hab ich hier nach einer Lösung gesucht.

Ich rede auch hauptsächlich von dem PC, von dem die Logfiles im ersten Posting sind.

Das mit dem Instabil und Unbenutzbar werdenden Linux Live war nur bei dem PC mit 8GB Ram, sonst bei allen
3-4 mal Booten bis es wirklich gestartet ist. Daher die Vermutung mit dem Ram (weil 32bit).

Achso, was mir beim lesen noch aufgefallen ist, es sind 2verschiedene Dateiendungen die Neu waren -svc
und -srv.

Habe auch noch einige Logfiles von ein paar umgeschriebenen Dateien und ein Teil des Wurmes sicherstellen
können und diese Textfiles erst in Zip und zusätzlich noch in ein Arj archiv auf den USB-Stick gepackt, wenn diese vielleicht mehr verraten. (USB-Stick war seit dem nirgends angeschloßen)

Das überlebt kein Schädling. Entweder hast du nicht (richtig) formatiert oder du hast danach wieder etwas ausgeführt, was du nicht solltest.

Kannst du mal beschreiben wie genau du vorgehst bzw vorgegangen bist bei der Neuinstallation? Und bitte auch den Datenträger beschreiben, mit dem du WinXP neu installiert hast (zB wie und womit ist der beschriftet, welches SP ist auf der CD schon integriert usw.)

BTW: Von WinXP sollte man sich so langsam aber sicher mal verabschieden. Es wird nur noch bis 2014 supportet, d.h. ab Mai 2014 gibt es KEINE Sicherheitsaktualisierungen von MS mehr, entdeckte Sicherheitslöcher bleiben also offen!

Hallo...
jetz kam noch hinzu,daß ich mein pw für hier nicht mehr finden konnte.

zur Installation: habe zuerst alle daten auf einen usb stick gezogen, per live cd (Linux).
nach dem sichern, die daten 3mal überschrieben und dann gelöscht.
anschließend die platte auf ext glaub ich formatiert, dann auf ntfs neu partitioniert.

bei der installation hab ich verschiedene versionen, einmal die originale cd von simens(lag dem rechner bei) mit sp2, dann eine gebrannte mit sp3 und ein originales home.

konnte endlich auf ein paar logs zugreifen, die normal gleich gelöscht wurden.häng ich dann vom pc aus an

das system ist immer noch nicht sauber!

dienste werden umgeschrieben und sind gehijackt, wie tief kann sowas gehen? Liegt der vielleicht im bios?

Eine einfach so hingestellte Aussage ohne nähere Erläuterung bringt nix

Damit kann ich rein garnix anfangen. :glaskugel:
Und BIOS Schädlinge sind so selten, dass das man ausschließen kann

das sind mal 3 logs, die normal immer gelöscht wurden...
vielleicht ist jetz einiges klarer?

werde schon langsam paranoid -.-

Was bitte sollen das für Logs sein? Kannst du mal alles näher erläutern?
Und ich warte imm ernoch auf die Erläuterungen der angeblich umgeschriebenen Dienste usw

Habe mal ein paar Screenshots angehängt. Sind nur 2 Ausschnitte, sonst komm ich über die 400kB.
Das ist gerade zum Testen ein frisch installiertes Win7

Die geposteten Logfiles sind aus einem Log vom Benutzer VTRoot.

Und wo bitte sollen da Anhaltspunkte sein? Worauf willst du hinaus?

Als Gruppe zb. -LocalServiceAndNoImpersonation
- LocalServiceNoNetwork
Als Programm Fontcache 3.0.0.0
finde ich für eine Neuinstallation schon auffällig oder?

Und als eigentlich aller Erstes, den Benutzer VTRoot darf es gar nicht geben bei einer Neuinstallation.
Ich hab den ja nicht angelegt ;)

Habe endlich mal was finden können, und zwar die Keybtray.exe ist der Trojaner Crypt-426.
Dann 7x Malware.Packer.Gen, Trojan.FakeAV, Trojan.Patched und PUM.Hijack.Help

Der erste Trojaner wurde auch immer mit geladen und setzt sich dann in den RAM, sodass kein Scanner etwas finden konnte. Bzw nach dem Löschen eines Fundes, war der Fund immer wieder da.

Wie bekomm ich sowas denn komplett weg? Formatieren hat das Problem ja nicht gelöst :/

Bios flashen für ein sauberes Bios?

Da an allen 3Rechnern Kartenleser sind, wie kann man dort am besten vorgehen?