win32rootkit

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von hexe, 05.12.2009.

  1. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Guten Morgen,

    ich beginne jetzt zu schreiben, obwohl ich mir jetzt schon vorstellen kann, wie eure Antwort lauten wird. Aber vielleicht habe ich ja Glück und ich kann mir Format C ersparen.

    Da mir mein Rechner die letzte Zeit etwas komisch vorkam, habe ich heute begonnen Suchläufe zu starten.
    Als erstes ist Malwarebytes dran .. und siehe da es wurde ein
    win32:Rootkit-gen[rtk] gefunden.

    Bereits das 2te mal.

    Nr. 1
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\temp\1EB.tmp.exe

    Diese Datei habe ich vom Viruscontainer wiederhergestellt und wollte sie bei Virus-Total prüfen lassen. Das ist nicht möglich, das 0 Bytes vorhanden sein sollen. Doch das stimmt so nicht, habe die Datei im Temp Ordner gesehen, das sind 77 und irgendwas KB.

    Nr. 2
    C:\Volumen System Information\_restore{6C72E561-61DE-4D73-A729-45BF0DAFEE}78-\RP753\A0150621.exe

    Die wollte ich gerade hochladen, aber ich finde trotz eingeblendeter Ordner System Volumen Information nicht. :confused:

    Ich poste Euch mal mein Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:39:20, on 05.12.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16876)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    C:\Programme\CDBurnerXP\NMSAccessU.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
    C:\Programme\Logitech\QuickCam\Quickcam.exe
    C:\PROGRA~1\OfficeKB\OfficeKB.EXE
    C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Java\jre6\bin\jucheck.exe
    C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
    C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
    C:\Programme\Alwil Software\Avast4\ashChest.exe
    C:\Programme\Trend Micro\HijackThis\Hallo.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = My Free Farm - kostenloses Browserspiel
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = Kostenlose E-Mail - Free Mail - E-Cards - Arcor das Newsportal
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
    O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [OfficeKB] C:\PROGRA~1\OfficeKB\OfficeKB.EXE
    O4 - HKLM\..\Run: [KPDrv4XP] C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
    O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
    O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech -d 11.5.0.1145 (User 'Default user')
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1196079673421
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
    O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
    O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
    O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
    O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
    O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

    --
    End of file - 9409 bytes


    Bedanke mich schon mal für die Antworten.

    Ich mache jetzt den Scann mit Malewarebytes weiter, dann SuperAntiSpywar und Avast.

    LG hexe
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 05.12.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Nr. 1
    C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\temp\1EB.tmp.exe

    Nr. 2
    C:\Volumen System Information\_restore{6C72E561-61DE-4D73-A729-45BF0DAFEE}78-\RP753\A0150621.exe

    Könnte auch ein Fehlalarm sein. Hast du versucht die Dateien zu löschen? Benutze Killbox wie hier beschrieben. Gehe bei der zweiten Datei genauso vor. Geht es nicht im Normalen Betrieb, dann im abgesicherten Modus versuchen. Danach Rechner neustarten und nochmal Scan laufen lassen.

    Killbox - Pocket KillBox

    Sollte es sich tatsächlich um einen Rootkit handeln, dann stellt der Schädling sich wieder her und erzeugt einen neuen Eintrag.

    Danach sehen wir weiter.
     
  4. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    @Leonixx: Ich danke dir wieder für deine schnelle Antwort

    Oje das hört sich wieder nach einem mächtigen Gesuche an :(, aber ich bin ja schon froh, das nicht sofort alles verloren scheint :p

    Ich habe jetzt ne Seite gefunden in der beschrieben wird, wie ich auf den System Volumen Order zugreifen kann (habe es aber noch nicht probiert)
    Soll ich die Datein quasi von Hand löschen oder mache das mit dem Killer-Programm? Kann es noch nicht installieren, weil Malewarebytes noch läuft und mein Rechner eh schon schnauft.

    Danke schön hexe
     
  5. #4 Leonixx, 05.12.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ja, Programm installieren, dann Rechner durchsuchen und wie in der Anleitung mit Killbox vernichten. Versuche es auf jeden Fall im abgesicherten Modus.

    Gruss
     
  6. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    So ich habe die Datei Nr. 1 mit Kill-Bill gelöscht (noch nicht im abgesicherten Modus) und danach Malewarebytes noch mal durchlaufen lassen.

    1EB.temp.exe wurde noch immer gefunden, jedoch befindet sich die Datei jetzt im KillBox Ordner. Ist das in Ordnung so, oder muss er ganz weg sein???

    Die Datei aus dem Volumen System Ordner kann ich nicht löschen, da mir der Zugriff verweigert wird.

    Ich werde im Laufe des Tages den Suchlauf im abgesicherten Modus noch mal machen. Wäre jedoch schön, wenn mir jemand sagt, wie ich an die Datei im Volumen System Ordner komme.

    Danke schön

    hexe
     
  7. #6 Leonixx, 05.12.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Killbox an die Datei beim rebooten löschen (also neustarten). An die Datei im Volume System Ordner wirst du wahrscheinlich nicht rankommen, da der Ordner vom System geschützt ist.
     
  8. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema: win32rootkit
Besucher kamen mit folgenden Suchen
  1. wuapp32 .exe