Trojaner-Board - rootkit xnhruw Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - rootkit xnhruw Problem (https://www.trojaner-board.de/82705-rootkit-xnhruw-problem.html)

rootkit xnhruw Problem

Hallo,

habe irgend so ein rootkit "xnhruw"

erst hats avira gefunden aber konnte es auch beim neustart nicht enfernen. Dann mit Malwarebytes aber auch damit konnte ich es nicht entfernen.

Jetzt hab ich GMER drüberlaufen lassen (allerdings nicht bis zum schluss, weil ich jetzt weg muss) und auch hier wurde rootkit "xnhruw" gefunden. kenn mich aber mit Gmer nicht aus.

Wie entferne ich das drecks ding jetzt?

Mein Rechner:

Windows XP
Avira Antivir Personal Free

Ist mein Zweitrechner der total vollgemüllt ist und seit Jahren nicht formatiert =)

GMER:

Code:

GMER 1.0.15.15281 - h**p://www.gmer.net

Rootkit scan 2010-02-07 13:22:35

Windows 5.1.2600 

Running: 3s2h04vi.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8C56AFE                                                                                                   ZwCreateKey

SSDT            F8C56AF4                                                                                                   ZwCreateThread

SSDT            F8C56B03                                                                                                   ZwDeleteKey

SSDT            F8C56B0D                                                                                                   ZwDeleteValueKey

SSDT            F8C56B12                                                                                                   ZwLoadKey

SSDT            F8C56AE0                                                                                                   ZwOpenProcess

SSDT            F8C56AE5                                                                                                   ZwOpenThread

SSDT            F8C56B1C                                                                                                   ZwReplaceKey

SSDT            F8C56B17                                                                                                   ZwRestoreKey

SSDT            F8C56B08                                                                                                   ZwSetValueKey

SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xF631A0B0]
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           TUKERNEL.EXE!KeInitializeInterrupt + B79                                                                   804D4F8E 1 Byte  [06]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0                                                           804FC6C8 4 Bytes  [FE, 6A, C5, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0                                                           804FC6F8 4 Bytes  [F4, 6A, C5, F8] {HLT ; PUSH -0x3b; CLC }

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208                                                           804FC720 4 Bytes  [03, 6B, C5, F8] {ADD EBP, [EBX-0x3b]; CLC }

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210                                                           804FC728 4 Bytes  [0D, 6B, C5, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294                                                           804FC7AC 4 Bytes  [12, 6B, C5, F8] {ADC CH, [EBX-0x3b]; CLC }

.text           ...                                                                                                        

?               ecyti.sys                                                                                                  Das System kann die angegebene Datei nicht finden. !

INIT            xnhruw.sys                                                                                                 F83C0000 40 Bytes  [0C, 7A, 30, 7B, FD, 52, 56, ...]

INIT            xnhruw.sys                                                                                                 F83C003C 2 Bytes  [1A, 77]

INIT            xnhruw.sys                                                                                                 F83C0040 6 Bytes  [2D, 9C, C8, BF, 90, 71]

INIT            xnhruw.sys                                                                                                 F83C0048 2 Bytes  [9E, 71]

INIT            xnhruw.sys                                                                                                 F83C004C 2 Bytes  [B0, 71] {MOV AL, 0x71}

INIT            ...                                                                                                        

.pak2           C:\WINDOWS\system32\drivers\xnhruw.sys                                                                     entry point in ".pak2" section [0xF848F3B6]

?               C:\WINDOWS\system32\drivers\xnhruw.sys                                                                     Ein an das System angeschlossenes Gerät funktioniert nicht.

PAGE            Ntfs.sys                                                                                                   F82F624E 4 Bytes  CALL 81FAD799 
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                                                                     81F72E00
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                     avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
 

---- Services - GMER 1.0.15 ----
 

Service          (*** hidden *** )                                                                                         [BOOT] xnhruw                                                        <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type                                                         1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start                                                        0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl                                                 0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group                                                        Boot Bus Extender

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type                                                             1

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start                                                            0

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl                                                     0

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group                                                            Boot Bus Extender

Hi,

wir probieren einen Schnellschuß...

Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

Drivers to delete:

xnhruw.sys

3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris

Hi,

danke für die schnelle Antwort. Soweit alles klar bis auf deinen letzen Abschnitt...was ist MAM oder mbam.exe?

lg bastyyy

Hi,

hast Du schonauf dem Rechner, MAM=Malwarebytes...

Poste das Avengerlog und MAM-Log...

chris

OK. werde es erst in ein oder zwei wochen testen können, da der rechner nicht in meiner aktuellen wohnung steht und ich dann erst wieder vor ort bin. ich berichte dann ob es geklappt hat oder nicht.

danke schonmal

So hat ne weile gedauert aber habs jetzt mal gemacht ...

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600)

Sat May 15 13:59:18 2010
 

13:59:18: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600)

Sat May 15 13:59:29 2010
 

13:59:29: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

hxxp://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 
 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\xnhruw.sys" not found!

Deletion of driver "xnhruw.sys" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

Scheint nix gefunden zu haben^^

Jetzt lass ich noch MAM drüberlaufen

Hallo,

mbam log:

Code:

Malwarebytes' Anti-Malware 1.44

Datenbank Version: 3697

Windows 5.1.2600

Internet Explorer 6.0.2600.0000
 

15.05.2010 15:38:23

mbam-log-2010-05-15 (15-38-23).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 216677

Laufzeit: 1 hour(s), 27 minute(s), 39 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{11752E62-A0E0-46FF-BB18-18EFAE375546}\RP193\A0020435.exe (Trojan.Banker) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\xnhruw.sys (Rootkit.Agent) -> Delete on reboot.

Was soll ich als nächstes machen?????

So und als letztes noch Gmer. Was kann ich nun machen um den dreck zu beseitigen?? Bitte helft mir :rolleyes:

Code:

GMER 1.0.15.15281 - hxxp://www.gmer.net

Rootkit scan 2010-05-15 17:41:12

Windows 5.1.2600 

Running: q442tzn9.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            F8B8A9DE                                                    ZwCreateKey

SSDT            F8B8A9D4                                                    ZwCreateThread

SSDT            F8B8A9E3                                                    ZwDeleteKey

SSDT            F8B8A9ED                                                    ZwDeleteValueKey

SSDT            F8B8A9F2                                                    ZwLoadKey

SSDT            F8B8A9C0                                                    ZwOpenProcess

SSDT            F8B8A9C5                                                    ZwOpenThread

SSDT            F8B8A9FC                                                    ZwReplaceKey

SSDT            F8B8A9F7                                                    ZwRestoreKey

SSDT            F8B8A9E8                                                    ZwSetValueKey

SSDT            F8B8A9CF                                                    ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           TUKERNEL.EXE!KeInitializeInterrupt + B79                    804D4F8E 1 Byte  [06]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0            804FC6C8 4 Bytes  [DE, A9, B8, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0            804FC6F8 4 Bytes  [D4, A9, B8, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208            804FC720 4 Bytes  [E3, A9, B8, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210            804FC728 4 Bytes  [ED, A9, B8, F8]

.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294            804FC7AC 4 Bytes  [F2, A9, B8, F8]

.text           ...                                                         

INIT            xnhruw.sys                                                  F83C3000 40 Bytes  [F6, F5, 1C, 2C, 4B, AF, 56, ...]

INIT            xnhruw.sys                                                  F83C303C 2 Bytes  [1A, 77]

INIT            xnhruw.sys                                                  F83C3040 6 Bytes  [2E, CE, 65, 1B, 90, 71]

INIT            xnhruw.sys                                                  F83C3048 2 Bytes  [9E, 71]

INIT            xnhruw.sys                                                  F83C304C 2 Bytes  [B0, 71] {MOV AL, 0x71}

INIT            ...                                                         

.pak2           C:\WINDOWS\system32\drivers\xnhruw.sys                      entry point in ".pak2" section [0xF848413D]

?               C:\WINDOWS\system32\drivers\xnhruw.sys                      Ein an das System angeschlossenes Gerät funktioniert nicht.

PAGE            Ntfs.sys                                                    F82F924E 4 Bytes  CALL 81FAE889 
 

---- Devices - GMER 1.0.15 ----
 

Device          \FileSystem\Ntfs \Ntfs                                      81FEB068
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                      avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
 

---- Services - GMER 1.0.15 ----
 

Service          (*** hidden *** )                                          [BOOT] xnhruw                                                        <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type          1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start         0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl  0

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group         Boot Bus Extender

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type              1

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start             0

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl      0

Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group             Boot Bus Extender
 

---- EOF - GMER 1.0.15 ----