Trojaner-Board - GMER findet Rootkit - FalsePositive oder nicht?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - GMER findet Rootkit - FalsePositive oder nicht? (https://www.trojaner-board.de/78164-gmer-findet-rootkit-falsepositive.html)

GMER findet Rootkit - FalsePositive oder nicht?

Guten Abend ihr lieben Leute,

ich würde gern wissen ob folgendes GMER Ergebnis ein FS ist oder eben nicht.

System:

Windows XP x64 SP2 - alle Updates
Nlitet & ntsvcfg "closed" (nur SMB fürs Netzwerk auf - ohne browsing)

Scan wurde nach einem Neustart ausgeführt. Die Maus wurde nicht bewegt. Der Bildschirmstandby sprang beim ersten mal (nach 5min) und exact nach dieser Aktion kam die Meldung. Da ich dies für einen Zufall hielt, hab ich den Monitor Standby deaktiviert, aber erstneut hat GMER ein rootkit gefunden.

Meldung:

http://666kb.com/i/bd0n7nmlakp5kemz4.jpg

Log

Code:

GMER 1.0.15.15125 - http://www.gmer.net

Rootkit scan 2009-10-07 02:03:07

Windows 5.2.3790 Service Pack 2

Running: 5q014w4g.exe
 
 

---- Services - GMER 1.0.15 ----
 

Service  C:\WINDOWS\system32\services.exe? (*** hidden *** )                                                                  [AUTO] Eventlog                             <-- ROOTKIT !!!

Service  C:\WINDOWS\System32\lsass.exe? (*** hidden *** )                                                                     [MANUAL] HTTPFilter                         <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\msdtc.exe? (*** hidden *** )                                                                     [DISABLED] MSDTC                            <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\lsass.exe? (*** hidden *** )                                                                     [MANUAL] Netlogon                           <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\lsass.exe? (*** hidden *** )                                                                     [MANUAL] NtLmSsp                            <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\services.exe? (*** hidden *** )                                                                  [AUTO] PlugPlay                             <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\lsass.exe? (*** hidden *** )                                                                     [MANUAL] PolicyAgent                        <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\lsass.exe? (*** hidden *** )                                                                     [AUTO] ProtectedStorage                     <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\sessmgr.exe? (*** hidden *** )                                                                   [MANUAL] RDSessMgr                          <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\lsass.exe? (*** hidden *** )                                                                     [AUTO] SamSs                                <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\drivers\scsiport.sys? (*** hidden *** )                                                          ScsiPort                                    <-- ROOTKIT !!!

Service  C:\WINDOWS\System32\vds.exe? (*** hidden *** )                                                                       [MANUAL] vds                                <-- ROOTKIT !!!

Service  C:\WINDOWS\system32\wbem\wmiapsrv.exe? (*** hidden *** )                                                             [MANUAL] WmiApSrv                           <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   2

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                     

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                  C:\Program Files (x86)\DAEMON Tools Lite\

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                  1

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                               0xD3 0x73 0x23 0x17 ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                            

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                         0x20 0x01 0x00 0x00 ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                      0x58 0xE6 0x08 0xD2 ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                       

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                 0xE0 0x5B 0x23 0x53 ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x93 0x06 0x24 0x3E ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x8B 0xC3 0x2E 0xE3 ...

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      

Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x01 0xCC 0xC8 0xD5 ...

Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        

Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x8B 0xC3 0x2E 0xE3 ...

Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  

Reg      HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xC7 0x47 0x89 0xC3 ...
 

---- EOF - GMER 1.0.15 ----

Über jegliche Antworten wäre ich sehr dankbar. Accountdaten sind bisher keine verschwunden und wenn das ganze kein false positive ist, wäre das Teil schon länger aktiv. :rolleyes:

Vielen Dank im Voraus.

Grüße Moppelkotze

Niemand der mir helfen kann? :(

Mwav & Malwarebytes Scan war negativ.

Hallo Moppelkotze :hallo:

Bei Rootkits kann ich dir nicht viel helfen.
Lad doch bitte die Datein bei Virustotal hoch und Poste das Ergebnis hier.
Wenn die Meldung erscheint das die Datei bereits Analysiert wurde als sie trotzdem Analysieren.

Wie sieht es mit einem HiJackThis Logfile aus?

Gruß Black_Light

Zitat:

Zitat von Black_Light (Beitrag 471397)

Virustotal findet nichts. Gibt es hier niemanden der XP x64 hat und mal mit GMER testen könnte?

GMER zeigt bei mir z.B. auch nur wenige Dinge an, die überprüft werden. Scheint mir zu XP x64 nicht wirklich kompatibel zu sein oder es liegt an meinem System.

http://666kb.com/i/bd1lxmfre4e3lrqxs.jpg

HiJackThis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:56:09, on 08.10.2009

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\Program Files (x86)\AMD\RAIDXpert\bin\RAIDXpertService.exe

C:\Program Files (x86)\AMD\RAIDXpert\bin\RAIDXpert.exe

C:\WINDOWS\SysWOW64\E_S00RP2.EXE

C:\Program Files (x86)\Java\jre6\bin\jqs.exe

C:\WINDOWS\SysWOW64\SAgent4.exe

C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe

C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe

C:\Program Files (x86)\SpeedFan\speedfan.exe

C:\WINDOWS\SysWOW64\ctfmon.exe

C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files (x86)\Acronis\TrueImageHome\TimounterMonitor.exe

C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe

C:\Program Files (x86)\Java\jre6\bin\jusched.exe

C:\Program Files (x86)\Trillian\trillian.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

C:\WINDOWS\system32\WinMsgBalloonServer.exe

C:\WINDOWS\system32\WinMsgBalloonClient.exe

C:\Program Files (x86)\Winamp\winamp.exe

C:\Program Files (x86)\Microsoft Virtual PC\Virtual PC.exe

C:\Program Files (x86)\Total Commander\TOTALCMD.EXE

C:\DOCUME~1\MRBF83~1.MIT\LOCALS~1\Temp\_tc\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

F2 - REG:system.ini: UserInit=userinit

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files (x86)\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files (x86)\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files (x86)\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files (x86)\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: SpeedFan.lnk = C:\Program Files (x86)\SpeedFan\speedfan.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

O15 - ESC Trusted Zone: http://runonce.msn.com

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228688052625

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1250048780250

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3C199B5D-C34D-4B28-8623-EBA16406A731}: NameServer = 192.168.***.* (Router IP halt)

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: AMD RAIDXpert (AMD_RAIDXpert) - AMD - C:\Program Files (x86)\AMD\RAIDXpert\bin\RAIDXpertService.exe

O23 - Service: AODService - Unknown owner - C:\Program.exe (file missing)

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe (file missing)

O23 - Service: EPSON V3 Service2(02) (EPSON_PM_RPCV2_02) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP2.EXE

O23 - Service: Event Log (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files (x86)\Java\jre6\bin\jqs.exe

O23 - Service: Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\WINDOWS\system32\nvsvc64.exe (file missing)

O23 - Service: O&O Defrag - Unknown owner - C:\WINDOWS\system32\oodag.exe (file missing)

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe (file missing)

O23 - Service: IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Remote Desktop Help Session Manager (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files (x86)\WinPcap\rpcapd.exe

O23 - Service: Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)

O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\SysWOW64\SAgent4.exe

O23 - Service: UPS - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)

O23 - Service: Virtual Disk Service (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)

O23 - Service: WMI Performance Adapter (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe (file missing)
 

--

End of file - 7579 bytes

Ich sehe gerade ... die File Missing Berichte sind (fast) alle Quark. Das dürfte wohl damit zusammenhängen, dass x32 Software unter XP/2k3 x64 nicht auf den x64 Systemordner zugreifen kann. Geht nur per bypass und bringt dann einige Probleme mit sich. Im TotalCommander kann man es z.B. per Hand (ini) aktivieren.

Hallo Moppelkotze

Das ist richtig so. HJT kommt mit 64bittigen Betriebssystemen (noch?) nicht zurecht das selbe könnte auch bei GMER der Fall sein bin mir da aber selbst nicht so sicher.

Gruß

Acid

Bei nem Kollegen mit XP x64 kommen die hidden Einträge _nicht_. Ich habe allerdings alle Files einzeln bei Virustotal.com hochgeladen und bei allen 0 Funde erhalten.

Ja, was mich wundert, das was GMER bei dir an rootkits ausgibt sind ja eigentlich die normalen Windows Prozesse. Um sicher zu gehen solltest du vielleicht mal hier schauen http://www.trojaner-board.de/69886-a...-beachten.html und den Punkt 2 abarbeiten.

Bei 64bit Systemen ist das leider aber immer so eine Sache da die meisten Tools die wir hier einsetzen leider noch nicht für 64bit angepasst wurden.

Gruß

Acid

Malwarebytes findet nichts - wie bereits geschrieben.

CCleaner hilft bei Malware wohl eher weniger und von Regcleanern halte ich wenig bis nichts.
Die Tempfiles putzt bei mir ein Script bei jedem shutdown automatisch von der Platte.

RSIT habe ich bisher nicht ausgeführt, dafür aber einen HJT Log oben gepostet.

RSIT läuft eh nicht:
http://666kb.com/i/bd3f4y18grfr02lo9.jpg

Beim Punkt Services und Dienste. :(

Zwecks Dienste:

Ist es möglich das GMER aufgrund des Nlite Windows spinnt? Bei einem normalen XP x64 meckert es nämlich nicht.

Zitat:

Ist es möglich das GMER aufgrund des Nlite Windows spinnt? Bei einem normalen XP x64 meckert es nämlich nicht.

Das ist durchaus möglich aber festlegen will ich mich da nicht.

Gruß

Acid

Hallo Moppelkotze!

Gmer läuft nur unter: Win 2000, Win XP, Win Vista (norm 32 Bit), Win 7 - Systeme, also unter Windows 2003 nicht!
die Funde sind daher sollte Ok sein

Um sicher zu gehen kannst dein System (noch) scannen mit:

1.
Führe dann einen Komplett-Systemcheck mit Nod32 - die Scanergebnis als *.txt Dateien speichern)
- (ESET Online Scanner (Sicherheitseinstellungen wie unter Punkt 1.)
Speichere und Poste bitte das Logfile

2.
Lass noch einen Online-Scanner über dein System laufen zwar Panda - (Kostenlose Online Scanner - Anleitung)
Kann sein, dass Du dein AV-Scanner (falsch Avira, G-Data, Avast drauf) für die Zeit bis Panda läuft deaktivieren musst (manche Antivirenprogramm erkennt Panda als Virus), danach aber wieder gleich einschalten!!

gruß
Coverflow

@Coverflow:

Danke für die Info. Was mich wundert, ist die Tatsache, dass das XP/2k3 x64 meiner Freunde keine Meldung erzeugt.
Gibt es aktuell keine rootkits die mit gebräuchlichen Mitteln nicht gefunden werden?

Zu 1:

Wird ESET nach der Benutzung wirklich wieder sauber deinstalliert?

Zitat:

Zitat von Moppelkotze (Beitrag 472352)

Danke für die Info. Was mich wundert, ist die Tatsache, dass das XP/2k3 x64 meiner Freunde keine Meldung erzeugt.

bei XP und Vista 32 Bit Ok, aber z.B mit Vista 64 Bit nicht

Zitat:

Zitat von Moppelkotze (Beitrag 472352)

Gibt es aktuell keine rootkits die mit gebräuchlichen Mitteln nicht gefunden werden?

Rootkits haben die Eigenschaftaften, dass sie die Binärdateien und Bibliotheken des Systems verändern, den Kernel unterwandern können "Direct Kernel Object Manipulation". Das heißt, ein Befall mit Rootkit, daher ist es besser das System gleich neu aufzusetzen, da Rootkits erfolgreich aufspüren und entfernen 100%ig ist nicht möglich!
Viele Tools (Gmer, Sophos, Rootrepeal, AVZ Antiviral Toolkit usw) , alle leistungsfähig und zur Suche auch nach Rootkits geeignet, jedoch kein Tool kann 100%ige Ergebnis liefern!
Das wiederum heißt, mit eine wirkungsvolle intensiver technische Säuberung des Computers, ist es möglich, einen `normalen Zustand` zu erreichen
Den "Auslieferungszustand wiederherzustellen" bzw so dass Du zu 100% dein System vertrauen kannst, ist nur mit Neuinstallation jeweils eine Änderung der Passwort und Zugangsdaten möglich!

Zitat:

Zitat von Moppelkotze (Beitrag 472352)

Wird ESET nach der Benutzung wirklich wieder sauber deinstalliert?

Du musst ihn nicht installieren!
Die Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dadurch verbrauchen sie ausser Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet um sich eine zweite Meinung einzuholen.
Nach dem Scan: Bei den von den Scannern installierten ActiveX-Controls kommen häufiger mal Sicherheitslücken vor. Es empfiehlt sich daher dringend, nicht benötigte ActiveX-Controls zu deaktivieren oder besser löschen:
IE öffnen-->Extras-->Internetoptionen-->Programme-->Add-Ons verwalten...
oder Eintrag: 016 mit HijackThis (manche findest Du unter Systemsteuerung-->Software-->Ändern/Entfernen...)fixen - Falls der Microsoft Internet Explorer von einigen Websites die ActiveX-Unterstützung benötigt, wird er es wieder automatisch downloaden und installieren
)

gruß
Coverflow:)

Darum gibts ja - ob er das ActiveX Element und evt. angelegte Logfiles wieder entfernt. ;) Ersteres macht er mal (gibt nen Haken dazu nach dem Scan). Letzeres ka.

Gefunden wurde im Übrigen nichts.

Bezüglich rootkits:

Ums entfernen gings mir nie. Was ein rootkit ist, weiß ich auch. Nur war/ist offen, wie zuverlässig die Tools heute sind. Vor Jahren sah es da ja noch recht düster aus. ;) Es geht mir rein um die Erkennung.

Zu GMER:

Wenn ich alle Files einzeln gescannt habe und keine Befunde bei Virustotal lieferte, kann ich doch zu 99,9% von einem false positive ausgehen, oder?

Zitat:

Zitat von Moppelkotze (Beitrag 472521)

wie zuverlässig die Tools heute sind. Vor Jahren sah es da ja noch recht düster aus.

Rückblick: Vor noch ca. einem Jahr gab es selten ein Fall/Thread, wo Rootkit aufgetaucht. (Zumindest meine Erfahrungen im Forum, wo PC`s infiziert waren)
Heutzutage klagt fast jeder zweite PC-Nutzer über einen Rootkit-Befall.:eek:
Eines sollte dir klar sein: Wenn auch Software-Entwickler & Programmierer versuchen mit dem Tempo mithalten, die Virenprogrammierer sind immer einen großen Schritt voran!

Zitat:

Zitat von Moppelkotze (Beitrag 472521)

Zu GMER:
Wenn ich alle Files einzeln gescannt habe und keine Befunde bei Virustotal lieferte, kann ich doch zu 99,9% von einem false positive ausgehen, oder?

Diese Frage kann ich Dir relativ kurz beantworten:
"Weil einige Dateien wurden als Malware eingestuft, bedeutet nicht gleich dass sie wirklich schädlich sind. Umgekehrt weil die Überprüfung einiger Arten schädlicher Dateien negative Ergebnisse gebracht haben, bedeutet das noch lange nicht, dass sie so harmlos sind, wie (oft) dargestellt wird ;)"

Ergo: "Trust it or leave it" :(

Ich such mir die Tage mal ne leere, alte HDD und spiele dort ein frisches Nlite XP x64 auf. Sollte GMER die gleichen "Funde" melden, verbuche ich das unter "Nlite Gebastel Probleme". Sollte es nichts finden, na ja, dann wirds komisch.

Wollte nur mal die Fakten mitteilen.

Altes Windows:

- Monitorstandby ging auf 10Min nicht mehr. Weniger und mehr kein Problem. Bei 10Min ging der Moni kurz aus und sofort wieder an.
- WinpCAP meldete bei der Installation einen Fehler und sagte mir, dass ich VPN Verbindungen nicht überwachen könnte. Das tolle daran - ich hatte keine! [Den Fehler sollte ich btw melden.]
- Die LAN Verbindung war ab und an einfach mal kurz getrennt "Kein Netzwerkkabel vorhanden", aber meine Verbindungen blieben alle erhalten! Ich konnte während dessen im ICQ schreiben - kam alles an!
- GMER fand ne handvoll Systemdienste, die es seltsamerweise als versteckt meldete, obwohl ich sie normal im Win Ordner sah. Zudem wurden diese halt als rootkit gemeldet. Das, was ich sah, lud ich bei Virustotal hoch. Alle lieferten 0/48 Treffer!

Nun mit einem neu installierten Nlite Windows (gleiche CD wie damals), allen Updates, gleicher Konfiguration und sogar Hamachi (um zu schauen was WinPcap dazu sagt). Auch das nfsvcfg Script lies ich laufen.

- Standby geht
- Lan Problem weg
- WinPcap lässt sich ohne Probleme installieren, trotz installiertem Hamachi! Und ja, ich hab die gleichen Versionen genommen.
- GMER meckert nicht mehr.

Fazit: War wohl irgend nen Mist drauf. Ich hab noch nen Image vom alten System. Wie kann ich nun rausfinden, was da genau aktiv war?