Hallo liebe community,

nachdem ich bereits eine Menge gegoogelt habe, bin ich auf dieses Forum aufmerksam geworden.

Kurz zur Vorgeschichte:

Mir ist heute aufgefallen, dass der Antivir Guard in der Taskleiste deaktiviert war und sich auch nicht aktivieren ließ. Ich konnte dies aber mit Start > ausführen 'services.msc' entsprechend ändern.

Ebenfalls heute ist mir aufgefallen, dass mein PC plötzlich extrem lange zum booten braucht (gute 2 Minuten). Auch einige Programme reagieren nicht mehr nach dem Start, dazu gleich mehr.

Ich vermute mal, dass ich mir irgendwas eingefangen habe. Ich habe bereits einen Antivir Test durchlaufen lassen. Ergebnis ist, dass 3 Viren im Quarantäne bereich sind.

Nachdem ich hier im Forum das Programm Anti-Malware gefunden habe, dachte ich mir ich lass dieses auch einmal drüber laufen, um zu sehen ob weitere Dinge gefunden werden. Genau hier liegt aber mein Problem: Das Programm hängt sich sofort nachdem ich den ausführlichen Scanvorgang starte auf und reagiert nicht mehr.

Kann mir jemand weiterhelfen?

Hi,

wir versuchen mal ob wir was finden (bevor wir die Bazzuka auspacken):

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter (http://images.malwareremoval.com/random/RSIT.exe)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hi Chris,

erstmal vielen Dank, dass du dich so schnell meinem Problem annimmst.

Ich habe Anti-Malware nochmal gestartet und einfach (obwohl es wieder direkt nach dem Scanbefehl nicht mehr reagierte) weiterlaufen lassen.

Nach ca. einer halben Stunde ist mir dann aufgefallen, dass ich nun die entsprechenden Laufwerke auswählen kann, also sich das Programm wieder 'gefangen' hat.

Ich habe nun den Scanvorgang für alle Laufwerke gestartet, diesen lass ich jetzt zu ende laufen und poste dann das Ergebnis hier hinein.

Soll ich danach die beiden Schritte die du mir vorgeschlagen hast direkt durchführen?

Hi,

ja, unbedingt für den Falls das MAM nicht alles erwischt...

chris

Hier mal der Log Bericht, den mir Anti-Malware erstellt hat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 6.0.6001 Service Pack 1

07.11.2009 22:00:10
mbam-log-2009-11-07 (22-00-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 509018
Laufzeit: 1 hour(s), 0 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Beide gefundenen Dateien habe ich aus dem Quarantäne Verzeichnis gelöscht.

Ich werde jetzt direkt die weiteren Schritte die du vorgeschlagen hast durchführen.

Hi,

hast du einen zweiten durchlauf gemacht, das MAM "No action taken" gemeldet hat?

chris

Nein, aber der PC wurde direkt nachdem ich die Datei löschen wollte neu gestartet.

Nach dem Neustart habe ich nochmals MAM ausgeführt und dann die beiden Dateien aus dem Quarantäne Bereich gelöscht.

Die Logdatei von RSIT kann ich hier nicht posten, weil leider eine Fehlermeldung wegen Zeichenüberschreitung kommt.

Hi,

Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

Hi Chris,

die PN an dich mit der Log-Datei von RSIT habe ich geschickt.

Hier die Log-Datei von GMER:


GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-07 22:57:26
Windows 6.0.6001 Service Pack 1
Running: uhpctgh6.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khje h 0x8B 0x7D 0xBA 0x8D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khje h 0x86 0xAB 0xD8 0x81 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8B 0x7D 0xBA 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x86 0xAB 0xD8 0x81 ...

---- EOF - GMER 1.0.15 ----

Hi,

Analyse hat etwas gedauert...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenLarusso Modus

C:\Windows\System32\spoolsv.exe
C:\Windows\UpdReg.EXE
N:\setupSNK.exe
M:\LaunchU3.exe -a
E:\Launcher.exe
L:\CD_Start.exe

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenLarusso Modus

R3 - URLSearchHook: (no name) - - (no file)

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Die spoolsv.exe bereitet mit noch sorgen, sie gehört eigentlich zu windows, fehlt aber lt. HJ-Log...

chris