Rootkits
 

Hallo!
Ich habe das Programm "Sophos Anti-Rootkit" mal über meinen PC laufen lassen und der hat dann ziemlich viele Dateien gefunden. Leider kann ich damit nichts anfangen, da ich nicht so in der Materie drin bin. Könnte mir vielleicht jemand helfen und sagen welche Dateien ich löschen kann/darf/muss? Habe in letzter Zeit öfter Probleme mit meinem PC und seitdem ich versucht habe Internet Explorer zu aktualisieren spinnt er völlig.D.h. IE ist nicht mehr aufzufinden, wird jedoch trotzdem noch manchmal automatisch mit irgendwelchen Werbeseiten geöffnet. Die Schnellstartleiste ist auch verschwunden. Naja vielleicht liegt ja bei einer dieser Dateien das Problem. Vielen Dank im Vorraus.

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

6.

• lade F-Secure Blacklight in einen neuen Ordner C:\programme\blacklight.
• schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
• nichts am Pc machen während der Scan läuft!

• starte in diesem Ordner fsbl.exe
• klicke auf "I accept the agreement" → "next" → "Scan"
• wenn der Scan beendet ist, wähle Close.
• der Bericht ist fsbl-XXX.log und befindet sich im Blacklight Verzeichnis. (anstelle der XXX stehen Zahlen, die Datum und Uhrzeit enthalten). Den Inhalt dieser Datei bitte posten.

Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

gruß
Coverflow

Hier sind die logfiles!
Hijack:


Filelist.zip:
weiter gehts beim nächsten Beitrag...

hier ist der zweite teil




CCleaner:
GMER:

blacklight:

hi

1.
Deinstalliere unter `Start→ Systemsteuereung→ Ändern/Entfernen...`
2.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
Du hast das Logfile v. HijackThis nicht vollständig gepostet!
erstelle bitte ein neues...

4.
starte filelist.bat und poste von hier nur das Verzeichnis "C:\WINDOWS\tasks
"

Dankeschön erst einmal für deine Hilfe.
Hier sind die logfiles


Malwarebytes Anti-Malware:


Hijackthis:


filelist.bat(C:\WINDOWS\tasks) :

hi

1.
den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- das Malwarebytes deinstallieren
- F-secure und Gmer auch bitte entfernen

2.
Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ Einträge auswählen→ Häckhen setzen→ "Fix checked"klicken→ PC neu aufstarten):
3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.

• Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
• [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
• für jedes Benutzerkonto bitte durchführen
• anschließend den Papierkorb leeren

4.
reinige dein System mit Ccleaner:

• "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

5.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

6.
Den kompletten Rechner zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online - Scanner - wähle "My Computer" aus:
im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- speichere die Ergebnis als *.txt Datei und poste das Logfile des Scans

7.
poste erneut:
Trend Micro HijackThis-Logfile

- Berichte wie es dein Rechner geht?

Hi,

hier der bericht:


ComboFix 10-01-01.05 - Lea 02.01.2010 20:04:04.4.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.502.214 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Lea\Desktop\Cofi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lea\Desktop\cfscript.txt
AV: avast! antivirus 4.8.1368 [VPS 100102-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\programme\Gemeinsame Dateien\ofyg.db"
"c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat"
"c:\windows\system32\fjhdyfhsn.bat"
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Gemeinsame Dateien\ofyg.db
c:\windows\system32\config\systemprofile\Anwendungsdaten\fvgqad.dat
c:\windows\system32\fjhdyfhsn.bat

.
((((((((((((((((((((((( Dateien erstellt von 2009-12-02 bis 2010-01-02 ))))))))))))))))))))))))))))))
.

2009-12-28 00:57 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-12-28 00:57 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-12-28 00:57 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-12-28 00:57 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-12-28 00:57 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-12-28 00:57 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-12-28 00:57 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-12-28 00:57 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-12-28 00:57 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-12-28 00:57 . 2009-12-28 00:57 -------- d-----w- c:\programme\Alwil Software
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-03 15:14 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-12-27 13:15 . 2009-12-27 13:15 -------- d-----w- c:\programme\Malwarebytes-Anti-Malware
2009-12-27 13:15 . 2009-12-03 15:13 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-27 13:03 . 2009-12-27 13:03 -------- d-----w- c:\dokumente und einstellungen\Lea Ersatz-Account\Lokale Einstellungen\Anwendungsdaten\Mozilla
2009-12-27 12:57 . 2009-12-27 12:57 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IECompatCache
2009-12-27 12:56 . 2009-12-27 12:56 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\PrivacIE
2009-12-27 12:45 . 2005-09-15 12:34 -------- d-----r- c:\dokumente und einstellungen\Administrator\Favoriten
2009-12-26 17:20 . 2009-12-26 17:20 -------- d-sh--w- c:\dokumente und einstellungen\Lea\PrivacIE
2009-12-26 13:49 . 2009-12-26 13:49 -------- d-sh--w- c:\dokumente und einstellungen\NetworkService\IETldCache
2009-12-26 12:42 . 2009-12-26 12:42 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IECompatCache
2009-12-26 12:28 . 2009-12-26 12:28 -------- d-sh--w- c:\dokumente und einstellungen\Lea\IETldCache
2009-12-26 12:08 . 2009-10-29 07:40 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-12-26 12:08 . 2009-10-29 07:40 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-12-26 12:06 . 2009-12-28 01:10 -------- d-----w- c:\windows\ie8updates
2009-12-26 11:59 . 2009-10-02 04:44 92160 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-12-26 11:28 . 2009-12-26 11:58 -------- dc-h--w- c:\windows\ie8

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-02 19:01 . 2008-01-05 17:06 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\Skype
2010-01-02 15:05 . 2008-01-05 17:11 -------- d-----w- c:\dokumente und einstellungen\Lea\Anwendungsdaten\skypePM
2009-12-27 20:34 . 2007-12-28 19:41 -------- d-----w- c:\programme\Avast
2009-12-27 12:51 . 2009-12-27 12:51 -------- d-----w- c:\programme\WinDirStat
2009-12-11 13:42 . 2005-09-12 09:36 462896 ----a-w- c:\windows\system32\perfh007.dat
2009-12-11 13:42 . 2005-09-12 09:36 85740 ----a-w- c:\windows\system32\perfc007.dat
2009-11-21 22:59 . 2009-11-21 22:59 -------- d-----w- c:\programme\MSECache
2009-10-29 07:40 . 2005-09-12 09:36 916480 ------w- c:\windows\system32\wininet.dll
2009-10-21 05:38 . 2005-09-12 09:36 75776 ----a-w- c:\windows\system32\strmfilt.dll
2009-10-21 05:38 . 2005-09-12 09:36 25088 ----a-w- c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2004-08-03 23:00 265728 ----a-w- c:\windows\system32\drivers\http.sys
2009-10-13 10:32 . 2005-09-12 09:36 271360 ----a-w- c:\windows\system32\oakley.dll
2009-10-12 13:38 . 2005-09-12 09:36 79872 ----a-w- c:\windows\system32\raschap.dll
2009-10-12 13:38 . 2005-09-12 09:36 150528 ----a-w- c:\windows\system32\rastls.dll
2008-10-20 22:42 . 2008-10-20 13:54 8462368 -csha-w- c:\windows\system32\drivers\fidbox.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2007-12-07 21686568]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\programme\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2005-05-13 118784]
"Tvs"="c:\programme\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 73728]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"PadTouch"="c:\programme\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 1077328]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-01-15 37376]
"FreePDF Assistant"="c:\programme\FreePDF_XP\fpassist.exe" [2008-07-22 357376]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Lea\Startmen�\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-6-17 59080]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [28.12.2009 01:57 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [28.12.2009 01:57 20560]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = www.google.com
IE: Easy-WebPrint - Drucken - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint - Schnelldruck - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint - Vorschau - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
IE: Easy-WebPrint - Zu Druckliste hinzufügen - c:\programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\
FF - prefs.js: browser.startup.homepage - google.de
FF - plugin: c:\dokumente und einstellungen\Lea\Anwendungsdaten\Mozilla\Firefox\Profiles\vesv165o.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000004.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-02 20:09
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-02 20:11:35
ComboFix-quarantined-files.txt 2010-01-02 19:11
ComboFix2.txt 2010-01-02 17:42
ComboFix3.txt 2008-10-20 21:22

Vor Suchlauf: 14 Verzeichnis(se), 22.753.341.440 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 22.719.107.072 Bytes frei

- - End Of File - - AC05AC62BC12730CAA471A676BB82008