Rootkit
 

Gute Nacht alle miteinander.
Die Uhrzeit lässt erraten, dass ich verzweifle.
Hier mein Problem:

Ich habe am Samstag einen neuen Rechner bekommen, zusammengebaut und Windows installiert. Doch schon bald traten erste Probleme auf, was durchaus mehrere Ursachen haben kann.

Die dümmste ist natürlich unentschuldbar. Ich habe mir einen Torrent gezocken mit einer fragwürdigen Datei. Auf Knopfdruck passierte nichts. Da hab ich schon Panik bekommen. Zu der Zeit war noch kein Virenscanner installiert, also zog ich mir Antivir. Kaum heruntergeladen wollte ich es mir installieren, was aber nicht ging. CRC Checksummenfehler. Programm kann nicht gestartet werden, da modifiziert. Nochmal von anderer Quelle geladen, aber selbes Problem.

Also habe ich mir AVG Antivir besorgt, was aber nur sehr schleppend lief. Da der PC ja relativ frisch war, habe ich ihn aufgrund der Probleme gleich wieder formatiert. XP installiert und Service Pack 3 installiert. Doch nicht lange und schon traten ähnliche Probleme auf. Nämlich wieder bei der Installation von Avira Antivir. Ich zog noch ein dritte Quelle hinzu, aber auch hier trat der Fehler auf. Etwas will also die Installation vehindern.

Hinzukommen nun folgenden Dinge:
Nach der Anmeldung startet die Explorer.exe nicht. Ich sehe nur meinen Desktophintergrund. Manchmal jedoch komme ich durch. Dann poppt jedoch sofort die Windows Datenausführungsverhinderung auf und warnt mich vor diversen Diensten. Manchmal ist es der Explorer, manchmal der Dienst für automatische Updates. Alles mögliche.

Während des Betriebs taucht dann auch gerne mal eine Windowsbenachrichtigung auf, die mir sagt, dass Systemdateien verändert wurden. Ich solle bitte die Windows CD einlegen, um die alte Datei wiederherzustellen.

Diverse Virenscanns im laufenden Betrieb zeigen gerne mal diverse Trojaner an, deren Namen ich mir leider nicht notiert habe (Namen die notiert sind, folgen unten), jedoch reagieren viele Virenscanner machmal nicht vernünftig.

Nun zu dem, was ich finden konnte:
Auf meinem System befindet sich eine Datei namens "winlognn.exe". Der Name verrät schon, dass sie eine Abwandlung der "winlogon.exe" ist, die ja im grunde nicht schädlich ist. Weiter fand ich in meinen Tempordnern Dateien names "csrssc.exe", "0.exe" und .dll Dateien mit langen wirren Zeichenkombinationen.

Von einem Freund habe ich mir die Knoppicillin Boot CD aus der c't gesorgt und sie scannen lassen. Sie fand das rootkit "Rootkit.Win32.Agent.jj", allerdings nur als Warnung und scheint somit nichts dagegen unternommen zu haben.

Ich hab mich anschließend zu Rootkits informiert. Unter anderem habe ich hier im Forum einen Beitrag gelesen, der das Programm GMER empfohl. Das habe ich mir von 2 Quellen besorgt, kann es jedoch nicht starten. Es kommt nur ein Windowsfehler.

Einen Hijack.this log habe ich grade nicht zur Hand, da der Rechner nicht startet. Ich habe den Rechner heute sicherlich schon 5 oder 6 Mal formatiert. Die Probleme treten immer wieder auf. Ich werde nun noch mit Knoppicillin prüfen, ob meine externe Festplatte infiziert ist. Tests im laufenden Betrieb ergaben hier keine Treffer.

Hat jemand eine Idee, wie sich das Problem lösen lässt?
Für Hinweise bin ich dankbar.

1. Torrent nutzer helfe ich eig ned gerne!
2. Wenn du schon Torrent nutzt dann ist wohl ein Virenscanner und eine Firewall das mindeste!
3. Schonmal anderen Virenscanner getested?
4. Du kannst wenn der explorer ned startet mit strg+alt+entf den taskmanager öffnen und dann einen neuen Taskstarten (Datei... Neuer Task) und dann explorer.exe
5. Abgesicherter Modus versucht?
6. Zieh dir mit nem anderen pc (bei kumpel?!) ne live cd, du formatierst sie dann damit... es gibt so linux dinger die man extra zum sicher formatiern hernehmen kann... tut mir leid ich weiß leider nicht mehr wie das heißt...
vllt konnte ich dir helfen...
mfg Aldi

Hi,

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

oder wenn der auch nicht startet:
Antivir, Rescue-CD
http://www.avira.de/de/support/support_downloads.html
Dort bitte das Rescue System sowie das update
dazu runterladen. Beim Start der Anwendung leere CD in den Brenner,
CD brennen lassen. Zweite CD brennen mit dem ausgepackten Update.
Von CD booten (Einstellung im BIOS vornehmen)...
http://www.pcwelt.de/start/sicherhei...s/news/149200/

Beim Formatieren immer auch den MBR neu schreiben lassen (FIXMBR),
da kann sich auch ein Rootkit verstecken, dann ist die gesamte Formatorgie umsonst! Daher muss auch unbedingt von CD gebootet werden, am besten die HDD komplett aus dem Bios ausschießen (Bootreihenfolge!).

chris

Ps.: Wenn er nicht mutiert ist, dann versteckt er sich hier:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Services\protect

Bedeutet Virenbefall. Hoechstwahrscheinlich mit iner Virut Variante. Was gleichbedeutend ist, das alle Ausfuehrbaren Dateien befallen sein koennten, auch die, die sich auf externen beschreibbaren Datentraeger befinden, wie usb Sticks oder Festplatten.

Daas bedeutet alle ausfuehrbaren Dateien loeschen und aus sicherer Quelle neu beschaffen, sonst hilft dir das neu Aufsetzen garnichts...

Wenn ich dich richtig verstanden habe, dann hast du Folgendes getan:

• Rechner zum ersten Mal gebootet
• Windows XP installiert
• Eine Datei ausgeführt, die potentiell ein Schadprogramm enthielt
• Einen Virenscanner heruntergeladen, der bei der Installation meldete, dass er verändert wurde
• Rechner heruntergefahren
• Rechner mit Installationsmedium neugestartet
• Windows XP neu installiert (nicht repariert!!!)
• Problem tritt immer noch auf

Ist das so korrekt? Wenn ja, dann kommen folgende Ursachen in betracht.

1. Installationsmedium ist defekt/infiziert
   Von was für einer Installationsquelle hast du das Betriebssystem installiert? Von einer Orginal-CD oder einem selbst beschriebenen Medium (ich unterstelle hier keine Raubkopie)? Sollte es sich um ein selbstbeschriebenes Medium handeln, dann verwende eine andere Installationsquelle als dieses Medium und auch ein anderes Image als das auf diesem Medium.
2. Virtualisierendes Rootkit
   Es gibt Rootkits, die ein Betriebssystem virtualisieren können. Da nützt dir häufig auch die Neuinstallation nichts, weil du das neue Betriebssystem in der virtuellen Umgebung installierst. Unterstützt dein Prozessor Virtualisierungstechnologien wie Intel-VT (VT-x, VT-i, auch Vanderpool) oder AMD-V (auch Pacifica)? Wenn nicht, dann verwende eine Rettungs-CD (Boot-CD) eines Virenschutz-Herstellers und lass das System prüfen. Diese CD müsste eine nicht auf Hardwareunterstützung basierende Virtualisierung entdecken können. Wenn dein Prozessor eine der genannten Technologien unterstützt, dann versuche mal Folgendes:
   Lade dir auf einem anderen Rechner die XEN Live-CD herunter und versuche eine VM mit Fullvirtualization zu starten. Poste dann hier gegebenfalls die Fehlermeldung. Wenn es funktioniert, dann können wir ein virtualisierendes Root-Kit ausschließen.
3. BIOS Rootkit
   Wenn du dir sowas eingefangen hast, dann kann ich dir leider nicht helfen, aber es gibt hier im Forum sicherlich Leute, die sich auch mit sowas auskennen.