Rootkit Fund

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von stockcarpilot, 08.04.2009.

  1. #1 stockcarpilot, 08.04.2009
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.123
    Zustimmungen:
    6
    Ort:
    NRW
    Hallo

    Habe heute den Laptop von meinem Bekannten gescannt. Er hatte Avira drauf. Er hatte eine Trojaner Meldung die immer wieder kam.
    Habe ein Logfile gemacht und Avast installiert. Meldung: Win32: Rootkit-gen (RTK).
    Da er wenig Zeit hatte haben wir den Scan bis 20% gemacht. Heute Abend lässt er Avast und Malwarebytes im Abgesicherten Modus laufen.
    Hier das Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:14:00, on 08.04.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16791)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\ATKGFNEX\GFNEXSrv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\ATK Hotkey\MsgTranAgt.exe
    C:\Programme\ATKOSD2\ATKOSD2.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
    C:\Programme\Wireless Console 2\wcourier.exe
    C:\Programme\Atheros\ACU.exe
    C:\Programme\ASUS\Splendid\ACMON.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\ACEngSvr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\acovcnt.exe
    C:\Programme\ThreatFire\TFTray.exe
    C:\Programme\ThreatFire\TFService.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freenet.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
    O4 - HKLM\..\Run: [MsgTranAgt] "C:\Programme\ATK Hotkey\MsgTranAgt.exe"
    O4 - HKLM\..\Run: [ATKOSD2] "C:\Programme\ATKOSD2\ATKOSD2.exe"
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
    O4 - HKLM\..\Run: [Wireless Console 2] "C:\Programme\Wireless Console 2\wcourier.exe"
    O4 - HKLM\..\Run: [ACU] C:\Programme\Atheros\ACU.exe -nogui
    O4 - HKLM\..\Run: [ACMON] "C:\Programme\ASUS\Splendid\ACMON.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [ThreatFire] C:\Programme\ThreatFire\TFTray.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1219915855656
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/J...58/&filename=jinstall-6u7-windows-i586-jc.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Programme\ATKGFNEX\GFNEXSrv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
    O23 - Service: ThreatFire - PC Tools - C:\Programme\ThreatFire\TFService.exe

    --
    End of file - 5950 bytes

    Soll ich den PC sofort formatieren, oder lohnt sich eine Desinfektion?

    Gruß stockcarpilot
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Ostseesand, 08.04.2009
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    bei diesem befall würde ich nicht mehr rumbasteln.
    versuchen kann man es mit dem--->klick removal-tool.
    aber du weisst nicht, was alles noch auf deinem system an schadsoftware ist. denn ein rootkit gibt den ton an, was der pc darf, ausführen, und was nicht.
    so werden scans nicht mehr echt ausgeführt und dem system wird was vorgegaukelt.

    meine meinung ist..... neuaufsetzen.
    rettet noch die wichtigsten daten wie bilder und dokumente, alles ausser .exe dateien und anwendungen.
    partition löschen, MBR löschen
    neu installieren
    alle passwörter die mit online-aktivitäten zu tun haben ändern.---->siehe hier
     
  4. #3 stockcarpilot, 09.04.2009
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.123
    Zustimmungen:
    6
    Ort:
    NRW
    Hallo

    Mein Bekannter hat den PC mit Avast und Malwarebytes im abgesicherten Modus gescannt. Die Funde wurden erfolgreich gelöscht. Bis jetzt keine Meldung mehr.
    Heute scannt er mit dem von Ostseesand vorgeschlagenem Tool. Danach würde ich noch einmal ein Logfile hier herein posten. Nach Ostern will er sich bei mir melden.

    Gruß stockcarpilot
     
  5. #4 Leonixx, 09.04.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hi Stockcarpilot,

    auf jeden Fall sollte er Combofix anwenden und Logfile posten, da Hijackthis nicht verlässlich bei Rootkit Erkennung ist. Ich muss Ostseesand grundsätzlich Recht geben, dass der Rootkit das System übernommen haben wird und weitere Tore schon offen stehen. Registry Einträge wurden verändert, wahrscheinlich auch Firewall und AV unterwandert etc........ Das kann auch zu einem Scanergebnis führen, dass tatsächlich aber nicht stimmt.

    Gruss
     
  6. #5 stockcarpilot, 09.04.2009
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.123
    Zustimmungen:
    6
    Ort:
    NRW
    Hallo Leonixx

    Nächste Woche hat er Urlaub und dann hoffentlich mehr Zeit. Werde dann deinen Vorschlag annehmen mit Combofix. Normalerweise würde ich ihn formatieren aber... Sein Asus Laptop hat er vor einiger Zeit von einem Händler neu gekauft. Vista home war vorinstalliert. Ihm gefiel Vista nicht und der Händler hat ihm XP aufgespielt.
    Automatische Updates sind aktiviert und funktionieren. Problem sind für mich Treiber XP und ob es Probleme bei der Neuinstallation gibt. Er hat aber keine Extra XP Lizenz bezahlt. Deswegen ist es für mich einfacher das System zu reparieren. Ob es von Erfolg gekrönt ist, muss sich zeigen.

    Gruß stockcarpilot
     
  7. #6 Leonixx, 09.04.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hat er keine Recovery Partition?
     
  8. #7 stockcarpilot, 09.04.2009
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.123
    Zustimmungen:
    6
    Ort:
    NRW
    So wie er mir das gestern erzählt hat, besitzt er für Vista eine Recovery Partition auf D von Vista.
    Da er wenig Zeit hatte, konnte ich nicht weiter nachhaken.
    Muss mir erst einmal anschauen ob er eine Recovery CD hat. Wenn dann wird sie nur für Vista sein.
    Dann schau ich mal ob der Händler ihm XP Treiber irgendwo in einem Ordner installiert hat.
    Ist alles ein bisschen seltsam mit XP. Nächste Woche weiß ich mehr.

    Gruß stockcarpilot
     
  9. heinzl

    heinzl .

    Dabei seit:
    29.01.2008
    Beiträge:
    8.266
    Zustimmungen:
    9
    [quote='stockcarpilot',index.php?page=Thread&postID=727832#post727832]Vista home war vorinstalliert. Ihm gefiel Vista nicht und der Händler hat ihm XP aufgespielt.
    Er hat aber keine Extra XP Lizenz bezahlt. [/quote]
    Da wird es wohl keine Recoverypartition geben mit XP ;)
    Aber der Händler hat illegal gehandelt.

    Quelle: http://www.heise.de/newsticker/Windows-7-Erste-Details-zum-XP-Downgrade--/meldung/136033
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 stockcarpilot, 09.04.2009
    stockcarpilot

    stockcarpilot
    Moderator

    Dabei seit:
    20.06.2008
    Beiträge:
    4.123
    Zustimmungen:
    6
    Ort:
    NRW
    Aber wie kann der Händler etwas illegales gemacht haben, wenn automatische Updates aktiviert ist und keine Fehlermeldungen kommen?
    Muss aber nächste Woche noch einmal nachfragen, nicht das ich hier eine Welle lostrete. Aber seltsam ist es schon.

    Gruß stockcarpilot
     
  12. #10 Ostseesand, 09.04.2009
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    [quote='stockcarpilot',index.php?page=Thread&postID=727865#post727865]Aber wie kann der Händler etwas illegales gemacht haben, wenn automatische Updates aktiviert ist und keine Fehlermeldungen kommen?
    [/quote]

    Hi,

    indem ein key der grauzone verwendet wird.
    dann gehen die updates, aber die SP streiken.
    ihr könntet mal auf der homepage vom läppi nach treiberpaketen für xp suchen. viele bieten diese pakete an. da sind dann alle treiber drin, von sound, grafik, lan, usw.
     
Thema: Rootkit Fund
Besucher kamen mit folgenden Suchen
  1. c:programmeatkgfnexgfnexsrv.exe

Die Seite wird geladen...

Rootkit Fund - Ähnliche Themen

  1. rootkit

    rootkit: hallo leser, musste heut feststellen das mein rechner mit rootkits befallen ist.erster fund von spybot search and destroy2 auf "PhysicalDrive...
  2. Ariva Fund

    Ariva Fund: Hallo an alle, ich wende mich an Euch, da ich ein absoluter Laie auf diesem Gebiet bin:D. Ich habe heute mit Avira einen kompletten...
  3. pauttoner.dll & twuunk_16.exe Virus Fund

    pauttoner.dll & twuunk_16.exe Virus Fund: Hey, Seit c.a 3 Tagen meldet sich AntiVir bei mir das ich einen Virus habe habe. Die Meldung zeigt mir an das er in einem Windows ordner ist....
  4. Antivir - Malware gefunden (4 Funde) - was tun?

    Antivir - Malware gefunden (4 Funde) - was tun?: Hallo, ich habe ein kleines Problem mit meinem (bisher absolut unauffälligen und unproblematischem) Laptop. Vor wenigen Tagen bekam ich die...