hallo,
bitte um Hilfe bei RtkBtMnt.exe im Temp Ordner. (mit Realtek Icon getarnt)
Bitte zudem um Nachsicht, da ich Anfänger bin, ich hoffe, alles richtig vorzubereiten.

Bei einer langen Suche nach einem Programmm habe ich in eine fragwürdige RAR Datei schauen wollen, habe also nur das rar geöffnet, ansonsten nichts gestartet - das hat schon ausgereicht.

Ich habe ziemlich schnell gemerkt, das etwas nicht stimmt und habe danach kopflose Aktionen durchgeführt, die evtl. das Aufspüren erschweren. Zunächst hat Microsoft Security Essentials eine Bedrohung entdeckt. Bereinigen lassen.
Leider habe ich den Eintrag später gelöscht, ich kann also nicht mehr sagen was es war und ob es evtl. etwas anderes war als das momentane Problem...
Es hat einen Neustart gewollt, habe ich erlaubt.
Daraufhin war meine Soundkarte irgendwie verstellt, es gab ein lautes Rauschen. Das Micro war voll aufgerissen, furchtbares Geräusch.

Ich weiß nicht mehr wie ich ich auf den Temp Ordner kam, (habe dafür eine RAM Disk) jedenfalls war dort die besagte exe drin, die sich nicht löschen ließ.
Sie ließ sich löschen, sobald ich den Prozess beendet hatte.

Google brachte einige Ergebnisse, dabei auch die Information, dass dieses Vieh von kaum einem Scanner erkannt würde.
Jemand behauptete, nach dem Beendes des Prozesses mit dem Lösch-Tool, das in Malwarebytes integriert ist, das Ding losgeworden zu sein.
Bei mir ist es allerdings nach jedem Neustart wieder in dem Temp Ordner.

Ein anderes Tool wurde in genau dem Zusammenhang empfohlen :
RemoveIt Pro V4-SE.

Das findet so an die 15 -20 "infections", wobei auch eine dabei ist namens Wacom_Tablet Driver. Das macht mich stutzig, da ich das Tablet ja installiert habe. Kommt mir wie ein Irrtum vor. Die anderen Sachen werden nur teilweise entfernt, 80% der Dateien (meist xx.dll) können nur von Hand gelöscht werden, wie das Tool mitteilt, für jede Datei ein eigenes Info-Fenster. Es sind aber auch wenige exe dabei. Habe die ersten 15 mitgeschrieben, also eine Liste auf Papier, bis zum Ende habe ich aber nicht durchgehalten.

HijackThis kann ich nur eine Verknüpfung finden, "Dateipfad öffnen" zeigt wiederum nur eine Verknüpfung, so kann ich nicht als Administrator starten. Es sagt gleich am Anfang:

"For some reason your System denied write access to the Hosts file. If any hijacked domains are in this file, HJT may NOT be able to fix this.. IF that happens, you need to edit the file yourself. Start, Run and type:
notepadC:\Windows\System32\drivers\etc\hosts
and press enter. Find the lines HJT reports and delete them Save the file as `hosts` and reboot."

Damit bin ich momentan überfordert.

Sophos Anti-Rootkit findet einen Registry Schlüssel mit ewig langem Namen, meint, das könnte nicht removed werden.
Sollte diese Information relevant sein, so werde ich den Namen mal abschreiben. Kann aber dauern...ist recht lang..!

Ansonsten fällt mir eben nichts mehr ein, was ich ausser diversen Scans gestern Nacht noch unternommen habe, deshalb stelle ich das Ergebnis von OTL hier als Anhang ein in der Hoffnung, dass jemand etwas konkretes damit anfangen kann.
Da war noch ein Online-Scan der hatte aber nichts gebracht.

PS:
a- mein Sohn war bei einem Besuch am Rechner, aber ich denke, dass ich das Desaster selber ausgelöst habe.

b- Während des OTL Scans war die RtkBtMnt.exe sowohl aus dem Prozess genommen, als auch gelöscht, vielleicht spielt das irgendeine Rolle?

Schon mal vielen Dank für alles.
Gruß
r

Zitat:

Bei einer langen Suche nach einem Programmm habe ich in eine fragwürdige RAR Datei schauen wollen

Ein Programm? Zu welchem Sinn und Zweck? Name und Quelle der RAR-Datei?
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

danke Arne,

bin grad nicht an dem fraglichen Rechner, so kann ich noch nicht genauer antworten.
Die fragliche Datei hab ich natürlich gelöscht, das zu dem Moment, als ich noch dachte, ich komme mit einem blauen Auge davon.
Momentan weiß ich das:
Zweck war, ein ( Freeware oder Demo )Programm zu finden, das Passwörter aus rar files entschlüsselt, da ich eine solche selber mal angelegt hatte, das ist aber lange her.
Mein Sohn brachte mich drauf, dass es so was gibt. Ich muss ihn nochmal fragen, denn es waren einige solcher Demo-Kandidaten auf dem Rechner, auch kann sein, dass er für mich ein solches heruntergeladen hat.
Ich frage also nach.
Ich habe auch gesehen, dass er scheinbar auf einer Seite namens goldelsel war, aber ob von dort was runtergeladen wurde weiß ich nicht.
Malwarebites findet nichts. Habe RtBtMnt.exe ja nochmal damit gescannt (mit rechts Klick )
(Edit : ach so, Logdatei? Müsste ich erst nachsehen)

Wie gesagt, es scheint ein noch recht unbekanntes Phänomen zu sein, oder selten.
Ich hoffe das angehängte Logfile ist soweit richtig angelegt und evtl. aufschlussreich...

erstmal bis dahin, vielen Dank nochmal.

Reiter Logdateien in Malwarebytes => alles posten was da sichtbar ist.

Zitat:

das Passwörter aus rar files entschlüsselt, da ich eine solche selber mal angelegt hatte, das ist aber lange her.

Je nach Passwortstärke und Rechnerkapazität kann das Passwort erst in Wochen oder Jahren "geknackt" sein!!

danke Arne,

ich poste das nochmal gerne, nur steht da nichts drin - EDIT: WEIL ICH EINEN KOMPLETT SCAN GERADE EBEN ERST AUFÜHRE!!!
die besagte Datei RtBtMnt.exe ist gelöscht und der Prozess beendet. Solange ich nicht neu starte bleibt das auch so.
In dem Zustand habe ich auch den Temp Ordner gescannt, aber auch die Datei selber, bevor ich sie löschte, nichts gefunden.
Mit MalWBites hab ich ja ca. ne Stunde später erst begonnen, hatte den ja nicht drauf- dachte nie, dass ich sowas überhaupt brauche. Wie gesagt, habe nur Datei exe und den Temp Ordner gescannt - KOMPLETT SCAN FOLGT

Das mit dem Passwort war von mir nicht zur Sicherheit angelegt, nur zum Ausprobieren, ein Jux, aber die unverschlüsselte, aktuellere Version habe ich leider nicht mehr.

Seis drum, ich möchte das komische Vieh loswerden.
Es heißt, dass es random Daten erzeugt oder sowas.
Ekelhaft, bisher ist am Rechner aber nichts zu spüren.

Momentan führe ich MWB nochmal komplett aus, aber ohne dass diese exe vohanden ist.
WAS AUCH NÖTIG IST UND ICH MIT MWB NOCH NICHT GETAN HATTE! s.o.
HAT BEREITS 1 INFEKT GEFUNDEN; bin gespannt!!!
. Poste Log wenn fertig.

vielen Dank!!
gruß

Falscher Alarm, war nur so eine Datei mit altbekannten falsch positiv Effekt -schon zu Spybot Zeiten-, ein Ebook mit Werbung dabei, vergessen im Eigene Dateien Ordner - hat garantiert nichts mit dem RtkBtMnt.exe zu tun, da abgeklärt ... aber:
Leider schreibt MWB keine Log Dateien mehr, wie das?
Die 3 Logs sind immer noch gleichen Datums....wo drinsteht dass nichts gefunden wurde.
Aber eben den großen Scan hat er nicht dokumentiert. Muss ich da was einstellen? Oder eine von den 3 löschen, damit er Platz hat?
Zu dumm, einen erneuten QuickScan hat er aber auch nicht gelogt...
dachte, der logt grundsätzlich jeden scan?
Ich komme darüber hinaus zu der Überzeugung, dass MalwreBites hier nichts findet, und hat bei dem RtkMnt.exe direkt-Scan auch nichts gefunden :

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6187

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

28.03.2011 02:02:04
mbam-log-2011-03-28 (02-02-04).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 1
Laufzeit: 3 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

PS:
Habe noch drei weitere OTL logs, die sind umfangreicher.... behalt ich mal.
Sorry, dass ich so ein Chaos produziere ;-(


Gruß

Zitat:

. Poste Log wenn fertig.

Wo ist das Log mit den Funden? Poste bitte alles! Logs ohne Funde sind sinnfrei!!

Zitat:

Falscher Alarm,

Ja bei RtkBtMnt.exe, die ist tatsächlich von Realtek

Malware Bites hat gescannt, aber keine Logdatei erzeugt. Siehe oben



Seis drum, ich muss den Rechner ohnehin aufgeben, denn es ist wieder ein anderes Problem aufgetreten, das mich schon letzte Woche VOR dem Problem hier gepeinigt hat. Durch viele Fragen und Recherchen konnte ich das beheben, aber nun ist es wieder aufgetreten. (Programme starten nicht)
Zusammen mit dem Problem hier krieg ich das nicht mehr hin.

Habe gestern mehrere Systemwiederherstellungen probiert (im abgesicherten Modus), da ich damit letzte Woche 1x Erfolg hatte.

Diesmal aber bleibt beides kleben , der RtkMnt.exe im Temp Ordner und dass einige Programme nicht starten.

Auch das Mikrofon ist bei jedem Start wieder so eingestellt, dass es böse rückkoppelt. Dieser Tablet Driver, den Sophos angemekrt hatte, ist doch wohl auch ein Vieh, es ist nämlich ein Prozess, der sich gar nicht beenden lässt. Ich glaub der Realtek Fake ist nur dazu da, vom eigentlichen Problem abzulenken.


Ich werde das Gerät platt machen müssen, sehe keinen Ausweg mehr. Ich werde anfangen, ein paar Daten zu retten und dann Tschüüs.

Ich danke dir Arne für die pietätvolle Begleitung auf den Friedhof.

PS: und wenn RtBtMnt.exe von Realtek ist, dann stimmt das nur, wenn es sich nicht im Temp Ordner aufhält.
So jedenfalls Google.

Zitat:

Malware Bites hat gescannt, aber keine Logdatei erzeugt. Siehe oben

Das ist so nicht nachvollziehbar denn MBAM spuckt zu JEDEM Scanvorgang ein Log aus. nachprüfen => schau nach im Reiter Logdateien von Malwarebytes!

Zitat:

Ich danke dir Arne für die pietätvolle Begleitung auf den Friedhof.

Nagut wenn du plattmachen willst soll es so sein, dann brauch ich auch keine Logs mehr

Zitat:

Zitat von cosinus

Das ist so nicht nachvollziehbar denn MBAM spuckt zu JEDEM Scanvorgang ein Log aus. nachprüfen => schau nach im Reiter Logdateien von Malwarebytes!

Hab ich doch gemacht, waren nur die alten drin. Ist doch für mich auch nicht nachvollziehbar.
Weißt du was?
Mich wundert gar nix mehr.

Zitat:

Zitat von cosinus

Nagut wenn du plattmachen willst soll es so sein, dann brauch ich auch keine Logs mehr

Ich lass mir da allerdings Zeit, mich hätte schon interessiert, was genau los ist. Vielleicht krieg ich noch einen Scan hin. Bleib bitte mal auf Sendung..

Zitat:

Hab ich doch gemacht, waren nur die alten drin. Ist doch für mich auch nicht nachvollziehbar.

Eine Erklärung gibt es noch: Du hast die Scans mit unterschiedlichen Windows-Benutzerkonten durchgeführt. Die Logs sind nämlich nur im jew. Benutzerprofil gespeichert.

Wenn du 3 Scans mit Malwarebytes mit dem User "John" machst, so sieht auch nur User "John" diese Logs dieser 3 Scans. Die Logs der 5 Scans von User "Mike" sieht John nicht und Mike sieht die Logs von John nicht

Zitat:

Zitat von cosinus

Eine Erklärung gibt es noch: Du hast die Scans mit unterschiedlichen Windows-Benutzerkonten durchgeführt. Die Logs sind nämlich nur im jew. Benutzerprofil gespeichert.

hallo Arne, danke, vielleicht wurde das Profil gewechselt, als ich in den abgesicherten Modus ging..??? Mach da selten selber rum damit..

Jedenfalls hatte ich ja schon aufgegeben, und deshalb etwas mit Emisoft herumgespielt, und der findet ja in jedem Foto von deiner Oma einen hochgefährlichen Virus.
.
Ein paar tracking cookies habe ich damit entfernt, aber meinen Timidty Treiber (ein GM Modul für besseren Midi-Sound auf Windows, von einem Einzelkämpfer geschrieben) hat er natürlich als hochgefährlichen Trojan eingestuft und das stimmte einfach nicht.

Erfreulicherweise habe ich die wintab.dll gefunden, die ich neulich geholt habe, habe sie durch die aktuelle ersetzt und jetz gehen die Programme auch wieder. !!!

Da hab ich gleich Malwarebites nochmal installieren müssen, (inzwischen habe ich Systemwiederherstellung gehabt) und mal einen Scan machen, diesmal MIT diesem RtkBtMnt.exe im Prozess und im Temp Ordner: Also das hier:
hxxp://www.techspot.com/vb/topic160163.html

Ergebnis negativ. Ist das schon ein Zeichen für cleaner Zustand?

Der Scan ist langweilig, hier ist er:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6220

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

31.03.2011 00:26:32
mbam-log-2011-03-31 (00-26-32).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|T:\|)
Durchsuchte Objekte: 285766
Laufzeit: 1 Stunde(n), 1 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



Gruß

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code: Alles auswählenAufklappen

ATTFilter

:OTL
[2011.02.25 14:18:41 | 000,000,034 | ---- | C] () -- C:\Windows\System32\mnprxpd2d.bin
[2011.01.16 00:23:06 | 000,000,011 | ---- | C] () -- C:\Users\***\AppData\Roaming\pref.ga
@Alternate Data Stream - 141 bytes -> C:\ProgramData\TEMP:F7B65412
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:66B13F37
@Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:6152D44C
[2011.03.26 15:52:05 | 000,065,536 | ---- | C] () -- C:\Windows\System32\sexwwjr.dll
:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Danke Arne, habe alles gemacht.
Fix hat soweit funktioniert, erstmal hier:

All processes killed
========== OTL ==========
C:\Windows\System32\mnprxpd2d.bin moved successfully.
C:\Users\***\AppData\Roaming\pref.ga moved successfully.
ADS C:\ProgramData\TEMP:F7B65412 deleted successfully.
ADS C:\ProgramData\TEMP:66B13F37 deleted successfully.
ADS C:\ProgramData\TEMP:6152D44C deleted successfully.
C:\Windows\System32\sexwwjr.dll moved successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: ***
->Temp folder emptied: 113997573 bytes
->Temporary Internet Files folder emptied: 718391 bytes
->Java cache emptied: 29255045 bytes
->FireFox cache emptied: 122123211 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 6853 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49282 bytes
Session Manager Temp folder emptied: 1249596 bytes
Session Manager Tmp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 255,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03312011_220517

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

mein MS Securitiy Essentials ist nicht mehr über die Taskleiste sichtbar, im System wird der Scanner allerdings als angeschaltet und aktiv dargestellt.
Windows Defender lässt sich nicht einschalten, den Dienst hat wohl ein anderer Scanner quittiert, oder wer auch immer


Gruß
ronz

PS EDIT:

NEIN! Es war so, ich habe vor dem Fix alle Programme aus und wollte den Virenscanner ausmachen, aber er war ja nicht mehr da.
Bin erschrocken, aber dachte, das trifft sich gut, mache ich jetzt den Fix.
Laut System war er aber an. War das NIX mit dem FIX?
Soll ich nochmal machen?

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.