stockcarpilot

Hallo

Habe heute den Laptop von meinem Bekannten gescannt. Er hatte Avira drauf. Er hatte eine Trojaner Meldung die immer wieder kam.
Habe ein Logfile gemacht und Avast installiert. Meldung: Win32: Rootkit-gen (RTK).
Da er wenig Zeit hatte haben wir den Scan bis 20% gemacht. Heute Abend lässt er Avast und Malwarebytes im Abgesicherten Modus laufen.
Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:14:00, on 08.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\ATKGFNEX\GFNEXSrv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATK Hotkey\MsgTranAgt.exe
C:\Programme\ATKOSD2\ATKOSD2.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Atheros\ACU.exe
C:\Programme\ASUS\Splendid\ACMON.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ACEngSvr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\acovcnt.exe
C:\Programme\ThreatFire\TFTray.exe
C:\Programme\ThreatFire\TFService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1219915855656
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JS...ws-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

--
End of file - 5950 bytes

Soll ich den PC sofort formatieren, oder lohnt sich eine Desinfektion?

Gruß stockcarpilot

Ostseesand

Hi,

bei diesem befall würde ich nicht mehr rumbasteln.
versuchen kann man es mit dem--->klick removal-tool.
aber du weisst nicht, was alles noch auf deinem system an schadsoftware ist. denn ein rootkit gibt den ton an, was der pc darf, ausführen, und was nicht.
so werden scans nicht mehr echt ausgeführt und dem system wird was vorgegaukelt.

meine meinung ist..... neuaufsetzen.
rettet noch die wichtigsten daten wie bilder und dokumente, alles ausser .exe dateien und anwendungen.
partition löschen, MBR löschen
neu installieren
alle passwörter die mit online-aktivitäten zu tun haben ändern.---->siehe hier

stockcarpilot

Hallo

Mein Bekannter hat den PC mit Avast und Malwarebytes im abgesicherten Modus gescannt. Die Funde wurden erfolgreich gelöscht. Bis jetzt keine Meldung mehr.
Heute scannt er mit dem von Ostseesand vorgeschlagenem Tool. Danach würde ich noch einmal ein Logfile hier herein posten. Nach Ostern will er sich bei mir melden.

Gruß stockcarpilot

Leonixx

Hi Stockcarpilot,

auf jeden Fall sollte er Combofix anwenden und Logfile posten, da Hijackthis nicht verlässlich bei Rootkit Erkennung ist. Ich muss Ostseesand grundsätzlich Recht geben, dass der Rootkit das System übernommen haben wird und weitere Tore schon offen stehen. Registry Einträge wurden verändert, wahrscheinlich auch Firewall und AV unterwandert etc........ Das kann auch zu einem Scanergebnis führen, dass tatsächlich aber nicht stimmt.

Gruss

stockcarpilot

Hallo Leonixx

Nächste Woche hat er Urlaub und dann hoffentlich mehr Zeit. Werde dann deinen Vorschlag annehmen mit Combofix. Normalerweise würde ich ihn formatieren aber... Sein Asus Laptop hat er vor einiger Zeit von einem Händler neu gekauft. Vista home war vorinstalliert. Ihm gefiel Vista nicht und der Händler hat ihm XP aufgespielt.
Automatische Updates sind aktiviert und funktionieren. Problem sind für mich Treiber XP und ob es Probleme bei der Neuinstallation gibt. Er hat aber keine Extra XP Lizenz bezahlt. Deswegen ist es für mich einfacher das System zu reparieren. Ob es von Erfolg gekrönt ist, muss sich zeigen.

Gruß stockcarpilot

Leonixx

Hat er keine Recovery Partition?

stockcarpilot

So wie er mir das gestern erzählt hat, besitzt er für Vista eine Recovery Partition auf D von Vista.
Da er wenig Zeit hatte, konnte ich nicht weiter nachhaken.
Muss mir erst einmal anschauen ob er eine Recovery CD hat. Wenn dann wird sie nur für Vista sein.
Dann schau ich mal ob der Händler ihm XP Treiber irgendwo in einem Ordner installiert hat.
Ist alles ein bisschen seltsam mit XP. Nächste Woche weiß ich mehr.

Gruß stockcarpilot

heinzl

Da wird es wohl keine Recoverypartition geben mit XP
Aber der Händler hat illegal gehandelt.

Quelle: http://www.heise.de/newsticker/Windo...meldung/136033

stockcarpilot

Aber wie kann der Händler etwas illegales gemacht haben, wenn automatische Updates aktiviert ist und keine Fehlermeldungen kommen?
Muss aber nächste Woche noch einmal nachfragen, nicht das ich hier eine Welle lostrete. Aber seltsam ist es schon.

Gruß stockcarpilot

Ostseesand

Hi,

indem ein key der grauzone verwendet wird.
dann gehen die updates, aber die SP streiken.
ihr könntet mal auf der homepage vom läppi nach treiberpaketen für xp suchen. viele bieten diese pakete an. da sind dann alle treiber drin, von sound, grafik, lan, usw.