msimgsiz.dat: Rootkit: system modification

Detrimentol · 27.06.2011, 22:22

Hi Arne,
so, nun ist alles geschafft, BootItNG deinstalliert, MBRCheck nochmal gelaufen. Hier das Ergebnis:

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000004fd

Kernel Drivers (total 138):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x806EF000 \WINDOWS\system32\hal.dll
  0xF7987000 \WINDOWS\system32\KDCOM.DLL
  0xF7897000 \WINDOWS\system32\BOOTVID.dll
  0xF75A7000 ACPI.sys
  0xF7989000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
  0xF7596000 pci.sys
  0xF75F7000 isapnp.sys
  0xF7A4F000 PCIIde.sys
  0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
  0xF798B000 intelide.sys
  0xF7607000 MountMgr.sys
  0xF74D7000 ftdisk.sys
  0xF770F000 PartMgr.sys
  0xF7617000 VolSnap.sys
  0xF74BF000 atapi.sys
  0xF7627000 disk.sys
  0xF7637000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xF749F000 fltmgr.sys
  0xF748D000 sr.sys
  0xF7647000 KillFile.sys
  0xF7717000 PxHelp20.sys
  0xF7476000 KSecDD.sys
  0xF7B52000 Ntfs.sys
  0xF7449000 NDIS.sys
  0xF742F000 Mup.sys
  0xF7657000 agp440.sys
  0xF790F000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0xF7687000 \SystemRoot\System32\DRIVERS\intelppm.sys
  0xBA3F2000 \SystemRoot\System32\DRIVERS\nv4_mini.sys
  0xBA3DE000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
  0xF773F000 \SystemRoot\System32\DRIVERS\usbuhci.sys
  0xBA3BA000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xF7747000 \SystemRoot\System32\DRIVERS\usbehci.sys
  0xF7757000 \SystemRoot\System32\DRIVERS\fdc.sys
  0xF7697000 \SystemRoot\System32\DRIVERS\i8042prt.sys
  0xF7767000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xF76A7000 \SystemRoot\System32\DRIVERS\serial.sys
  0xF7777000 \SystemRoot\system32\drivers\actser.sys
  0xF791B000 \SystemRoot\System32\DRIVERS\serenum.sys
  0xBA3A6000 \SystemRoot\System32\DRIVERS\parport.sys
  0xF76B7000 \SystemRoot\system32\drivers\Imapi.sys
  0xF7927000 \SystemRoot\system32\drivers\pfc.sys
  0xF76C7000 \SystemRoot\System32\Drivers\Cdr4_xp.SYS
  0xF76D7000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xF76E7000 \SystemRoot\System32\DRIVERS\redbook.sys
  0xBA383000 \SystemRoot\System32\DRIVERS\ks.sys
  0xBA363000 \SystemRoot\System32\Drivers\pwd_2k.SYS
  0xF778F000 \SystemRoot\System32\Drivers\Cdralw2k.SYS
  0xBA2DF000 \SystemRoot\system32\drivers\smwdm.sys
  0xBA2BB000 \SystemRoot\system32\drivers\portcls.sys
  0xF76F7000 \SystemRoot\system32\drivers\drmk.sys
  0xF798F000 \SystemRoot\system32\drivers\aeaudio.sys
  0xF7586000 \SystemRoot\System32\DRIVERS\avmcowan.sys
  0xF7576000 \SystemRoot\System32\DRIVERS\avmdsloe.sys
  0xF7993000 \SystemRoot\System32\Drivers\RootMdm.sys
  0xF77AF000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF7566000 \SystemRoot\System32\DRIVERS\avmndsl.sys
  0xF7A7D000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xF7556000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
  0xF7947000 \SystemRoot\System32\DRIVERS\ndistapi.sys
  0xBA204000 \SystemRoot\System32\DRIVERS\ndiswan.sys
  0xF7546000 \SystemRoot\System32\DRIVERS\raspppoe.sys
  0xF7536000 \SystemRoot\System32\DRIVERS\raspptp.sys
  0xF77CF000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xBA1CB000 \SystemRoot\System32\DRIVERS\psched.sys
  0xF7526000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xF77DF000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xF77EF000 \SystemRoot\System32\DRIVERS\raspti.sys
  0xF7516000 \SystemRoot\System32\DRIVERS\termdd.sys
  0xF77FF000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xF799B000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xBA11D000 \SystemRoot\System32\DRIVERS\update.sys
  0xBA7F0000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xF7817000 \SystemRoot\System32\Drivers\dvd_2K.SYS
  0xF7506000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF74F6000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xF799F000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xF772F000 \SystemRoot\System32\DRIVERS\flpydisk.sys
  0xF79A3000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7A94000 \SystemRoot\System32\Drivers\Null.SYS
  0xF79A7000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF776F000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF777F000 \SystemRoot\System32\drivers\vga.sys
  0xF79AB000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF79AF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xB8F90000 \SystemRoot\System32\Drivers\cdudf_xp.SYS
  0xF7797000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF77A7000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xB8F4B000 \SystemRoot\System32\Drivers\UdfReadr_xp.SYS
  0xBA200000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0xB8EFE000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xB8EE4000 \??\C:\Programme\comm\Internet\Atguard\iamdrv.sys
  0xB8E8B000 \SystemRoot\System32\DRIVERS\tcpip.sys
  0xBA7B8000 \SystemRoot\System32\Drivers\aswTdi.SYS
  0xB8DC5000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xBA7A8000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xB8D9D000 \SystemRoot\System32\DRIVERS\netbt.sys
  0xB8D65000 \SystemRoot\system32\DRIVERS\tcpip6.sys
  0xF77E7000 \SystemRoot\System32\Drivers\aswRdr.SYS
  0xBA798000 \SystemRoot\system32\drivers\ip6fw.sys
  0xB8D43000 \SystemRoot\System32\drivers\afd.sys
  0xBA788000 \SystemRoot\System32\DRIVERS\netbios.sys
  0xB8D18000 \SystemRoot\System32\DRIVERS\rdbss.sys
  0xB8CA8000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xBA768000 \SystemRoot\System32\Drivers\Fips.SYS
  0xB8C5E000 \SystemRoot\System32\Drivers\aswSP.SYS
  0xB8BC6000 \SystemRoot\System32\Drivers\aswSnx.SYS
  0xBA1A3000 \SystemRoot\System32\Drivers\Aavmker4.SYS
  0xB8B5D000 \SystemRoot\system32\DRIVERS\fwlanusb.sys
  0xBA17B000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xF780F000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
  0xB8F2D000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xBA29B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xB8F25000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xB8F21000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xBA1E4000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF774F000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7A71000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\nv4_disp.dll
  0xBF3CD000 \SystemRoot\System32\ATMFD.DLL
  0xBA10D000 \??\C:\WINDOWS\system32\drivers\mbam.sys
  0xB7A01000 \SystemRoot\System32\Drivers\aswFsBlk.SYS
  0xB7056000 \SystemRoot\System32\Drivers\aswMon2.SYS
  0xB6DA9000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0xB712D000 \SystemRoot\System32\drivers\avmport.sys
  0xB6D6C000 \SystemRoot\system32\drivers\wdmaud.sys
  0xF79BB000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB711D000 \SystemRoot\system32\drivers\sysaudio.sys
  0xBA1C3000 \SystemRoot\System32\DRIVERS\aadev.sys
  0xB6A3E000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB6D09000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xB64E9000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB7AB5000 \SystemRoot\System32\DRIVERS\ipfltdrv.sys
  0xB594E000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 40):
       0 System Idle Process
       4 System
     620 C:\WINDOWS\system32\smss.exe
     892 csrss.exe
     916 C:\WINDOWS\system32\winlogon.exe
     960 C:\WINDOWS\system32\services.exe
     972 C:\WINDOWS\system32\lsass.exe
    1168 C:\WINDOWS\system32\svchost.exe
    1216 svchost.exe
    1256 C:\WINDOWS\system32\svchost.exe
    1300 svchost.exe
    1364 svchost.exe
    1424 C:\Programme\ut\sicherheit\Alwil Software\Avast5\AvastSvc.exe
    1764 C:\WINDOWS\explorer.exe
    1832 C:\WINDOWS\system32\spoolsv.exe
    1908 svchost.exe
    1992 C:\Programme\avmwlanstick\WLanNetService.exe
     188 C:\Programme\Java\jre6\bin\jqs.exe
     240 C:\Programme\ut\sicherheit\Malwarebytes' Anti-Malware\mbamservice.exe
     424 C:\WINDOWS\system32\nvsvc32.exe
     512 C:\WINDOWS\system32\svchost.exe
     668 wdfmgr.exe
     752 C:\Programme\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
     840 C:\Programme\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
     324 C:\Programme\CD+DVD\Roxio\Easy CD Creator 5\DirectCD\Directcd.exe
     684 C:\WINDOWS\system32\rundll32.exe
     368 C:\Programme\Comm\Mozilla Firefox\firefox.exe
     936 C:\Programme\avmwlanstick\WLanGUI.exe
    1952 C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
    2064 C:\Programme\ut\sicherheit\Malwarebytes' Anti-Malware\mbamgui.exe
    2080 C:\Programme\Comm\Microsoft ActiveSync\wcescomm.exe
    2096 C:\PROGRA~1\Comm\MICROS~1\rapimgr.exe
    2360 C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Dropbox\bin\Dropbox.exe
    2388 C:\WINDOWS\system32\wuauclt.exe
    2952 C:\Programme\Office\OpenOffice.org 3\program\soffice.exe
    3344 C:\Programme\Office\OpenOffice.org 3\program\soffice.bin
    2076 alg.exe
    3792 wmiprvse.exe
    2456 C:\Programme\Office\Crimson Editor\cedt.exe
    2856 F:\SOFTWARE\Sicherheit\MBRCheck\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive1 at offset 0x00000002`ed9d7200  (NTFS)
\\.\F: --> \\.\PhysicalDrive0 at offset 0x00000002`ed9df000  (NTFS)
\\.\G: --> \\.\PhysicalDrive2 at offset 0x00000000`00100000  (NTFS)
\\.\K: --> \\.\PhysicalDrive3 at offset 0x00000000`00007e00  (NTFS)

PhysicalDrive1 Model Number: HDS724040KLAT80, Rev: KFAOA46A
PhysicalDrive0 Model Number: WDCWD2500JB-75GVA0, Rev: 08.02D08
PhysicalDrive2 Model Number: WDExt HDD 1021, Rev: 2002
PhysicalDrive3 Model Number: WD6400AAK External, Rev: 1.05

      Size  Device Name          MBR Status
  --------------------------------------------
    372 GB  \\.\PhysicalDrive1   Windows 98 MBR code detected
            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E
    232 GB  \\.\PhysicalDrive0   Windows 98 MBR code detected
            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E
   1397 GB  \\.\PhysicalDrive2   RE: Windows XP MBR code detected
            SHA1: DA38B874B7713D1B51CBC449F4EF809B0DEC644A
    596 GB  \\.\PhysicalDrive3   RE: Windows 98 MBR code detected
            SHA1: 48F01D7E76A0F3C038D08611E3FDC0EE4EF9FD3E


Done!

Irgendwas Verdächtiges drin?
Gruß

Detrimentol · 28.06.2011, 12:27

Noch ne Frage, bitte,
für die Datensicherung gestern hab ich zwei externe Festplatten angeschlossen. Besteht die Gefahr, dass die Malware auf sie übertragen wurde?

cosinus · 28.06.2011, 15:30

Zitat:

für die Datensicherung gestern hab ich zwei externe Festplatten angeschlossen. Besteht die Gefahr, dass die Malware auf sie übertragen wurde?

Ja natürlich besteht eine Gefahr, das musst du doch wissen!

Kommt drauf an, ob du dem Inahlt dieser Platten traust bzw. ob diese Platten frisch formatiert waren.
Und wenn dort schädlicher COde drauf ist, ob du diesen auch selbst ausgeführt hast oder ob durch automatische Wiedergabe automatisch Schadcode gestartet wurde

Detrimentol · 28.06.2011, 15:47

Zitat:

natürlich besteht eine Gefahr, das musst du doch wissen

Nee, keine Ahnung, sry. Ich weiss ja auch nicht, wie ich ne Datensicherung anders hätte machen können.
Ich habe den Platten durchaus vertraut, ich meinte es anders herum: Kann es sein, dass sich schädlicher Code auf diese Platten übertragen hat, als ich die Dateien da drauf kopiert habe? Mir ist klar, dass sich schädlicher Code prinzipiell in den rüberkopierten Dateien verbergen kann - aber außerdem? Einfach durch Anschließen der Platten? Kurz gesagt: Kann ich ihnen jetzt noch trauen?

Seit der Meldung von Avast, dass ein Rootkit gefunden wurde, hab ich mich nicht mehr getraut, irgendwas zu machen, was einen externen Datenträger (USB-Stick, Speicherkarte) oder eine Passwort erfordert (EMail, websites wie facebook), außer natürlich Trojaner-Board.

Und zweite Frage: Wenn MBRCheck nichts mehr gemeldet hat (auch Avast meldet jetzt keine Rootkit-Veränderung mehr) - kann ich davon ausgehen, dass mein System jetzt sauber ist? Oder soll ich da noch was machen? Sorry, ich kann das überhaupt nicht beurteilen.

Danke für die Hilfe!

cosinus · 28.06.2011, 16:23

Ja, der MBR sollte wieder ok sein.

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Detrimentol · 30.06.2011, 14:28

Hallo Arne,

habe jetzt alle Scans laufen lassen.
Hier zuerst der MWB-Scan:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6967

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29.06.2011 00:24:28
mbam-log-2011-06-29 (00-24-28).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 863346
Laufzeit: 6 Stunde(n), 51 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und hier der superantispyware-Log

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 06/29/2011 at 12:09 PM

Application Version : 4.54.1000

Core Rules Database Version : 7347
Trace Rules Database Version: 5159

Scan type       : Complete Scan
Total Scan Time : 10:32:15

Memory items scanned      : 545
Memory threats detected   : 0
Registry items scanned    : 6661
Registry threats detected : 0
File items scanned        : 703995
File threats detected     : 55

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@kaspersky.122.2o7[1].txt
	C:\Dokumente und Einstellungen\Admin\Cookies\admin@guj.122.2o7[1].txt
	akamai.smartadserver.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	ch.mediaplanet.streamingbolaget.se [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	ia.media-imdb.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	imagesrv.adition.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media.mtvnservices.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media.scanscout.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media.socialvibe.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media1.break.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	secure-us.imrworldwide.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	serving-sys.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	vidii.hardsextube.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.ardmediathek.de [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.naiadsystems.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.pornme.in [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.sexyandfunny.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	wwwstatic.megaporn.com [ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	akamai.smartadserver.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	alotporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	banners.securedataimages.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	bc.youporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	bdsm-mit-herz.joyclub.de [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	cdn1.eyewonder.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	cdn5.specificclick.net [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	crackle.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	ds.serving-sys.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	files.adbrite.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	googleads.g.doubleclick.net [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	ia.media-imdb.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media.scanscout.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	media1.break.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	msnbcmedia.msn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	naiadsystems.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	pornotube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	secure-us.imrworldwide.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	socialmedia.sportrelief.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	static.eporner.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	static.xxxmatch.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	static.youporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	static1.pornturbo.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	vidii.hardsextube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.alphaporno.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.euros4click.de [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.freeporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.freshporntube.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.mofosex.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.pornhub.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.pornstarnetwork.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.teenist.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	www.watch-us-fuck.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	wwwstatic.megaporn.com [ D:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\C8NNCJEX ]
	cdn5.specificclick.net [ D:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\RMQ9LXC7 ]
	cdn5.specificclick.net [ D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ARXQ4B34 ]
	s0.2mdn.net [ D:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\ARXQ4B34 ]

Die meisten sind auf Laufwerk D, das ich schon lang nicht mehr nutze.
Sorgen bereitet mir wieder ein Avast-Bericht (ich muss ihn abschreiben, da ich ihn in keinem Log-finde).

Code:

ATTFilter

D:\pagefile.sys ... Bedrohung: Win32: Banker-GSK [Spy]

Auch auf Platte D, die auf Laufwerk 0 liegt und die ich nicht nutze. Ich habe sie seinerzeit wegen Infektion aufgegeben. War aber alles bereinigt, und Avast hat dort schon lange nichts mehr gefunden. Neulich musste ich aber wieder von ihr einmalig booten, da ich ja auf Deine Anweisung hin kürzlich BootItNG deinstalliert habe. Da musste ich boot.ini auf Laufwerk 0 halt einmal ändern. Danach war dieser Banker-GSK wieder da. Soll ich die Partition einfach neu formatieren?

Außerdem zeitg Avast einige Meldungen der Art:

Code:

ATTFilter

Prozess 3844 [superantispyware.exe], ..., Bedrohung: Win32: Agent-ADV [Rtk]

um die ich mir aber wohl keine Sorgen machen muss?!

Mit dem Rechner habe ich jetzt keine Probleme mehr. Heisst das, dass alles in Ordnung ist? Kann ich jetzt ruhig wieder alles machen, z. B. auch Online-Banking?

Danke für Deine Hilfe. Spende kommt (wenn ich wieder OnlineBanking machen darf).

cosinus · 30.06.2011, 14:43

Zitat:

D:\pagefile.sys ... Bedrohung: Win32: Banker-GSK [Spy]

Eigentlich liegt die pagefile.sys auf c: - wie groß ist die auf D:?

Zitat:

Auch auf Platte D, die auf Laufwerk 0 liegt und die ich nicht nutze. Ich habe sie seinerzeit wegen Infektion aufgegeben

Partition von Laufwerk D löschen, neu anlegen, formatieren?

Zitat:

Danke für Deine Hilfe. Spende kommt (wenn ich wieder OnlineBanking machen darf).

Auf eigenes Risiko. Wer OnlineBanking macht muss ich darüber im Klaren sein. Viele nutzen OnlineBanking grundsätzlich nicht über Windows sondern über Live-CDs wie Ubuntu oder Bankix mit speziellen Bankingtools und Plugins.

Sonst nur Cookies...was ist mit ESET?

Detrimentol · 30.06.2011, 17:47

Zitat:

Eigentlich liegt die pagefile.sys auf c: - wie groß ist die auf D:?

Dies ist die Auslagerungsdatei einer alten WinXP-Installation, die ich seint einem Jahr nicht mehr nutze - außer einmal, vor zwei Tagen, nachdem Du mich zur Deinstallation von BootItNG aufgefordert hast:

Zitat:

Neulich musste ich aber wieder von ihr einmalig booten, da ich ja auf Deine Anweisung hin kürzlich BootItNG deinstalliert habe. Da musste ich boot.ini auf Laufwerk 0 halt einmal ändern. Danach war dieser Banker-GSK wieder da.

ESET wird nachgeliefert, hab aber ein bißchen Angst:

Zitat:

Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Kann nicht schon wieder was passieren, wenn der PC ohne Schutz im Netz ist?

Noch eine Frage: Gabs denn eine Bereinigung? Was hatte ich mir da eingefangen? Oder war das ein Fehlalarm von Avast?

cosinus · 30.06.2011, 19:34

Zitat:

ESET wird nachgeliefert, hab aber ein bißchen Angst:

WTF

wovor denn?

Zitat:

Kann nicht schon wieder was passieren, wenn der PC ohne Schutz im Netz ist?

Bist du auch einer, der glaubt Schädlinge fliegen von ganz allein auf den PC?

Detrimentol · 01.07.2011, 12:35

Hier nun das Log von ESET:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6427
# api_version=3.0.2
# EOSSerial=4703323d1b3ec5429d912e3cae4d69d2
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-07-01 11:01:01
# local_time=2011-07-01 01:01:01 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 794911 794911 0 0
# compatibility_mode=768 16777215 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 0 0 0 0
# scanned=958894
# found=3
# cleaned=0
# scan_time=38756
F:\Laufwerke der kaputten Maxtor-Festplatte\LwD (altes Lw C)\found.000\dir0004.chk\HachaPro\hacha.exe	probably a variant of Win32/Agent.ETBBQHX trojan (unable to clean)	00000000000000000000000000000000	I
F:\SOFTWARE\CD+DVD\Nero\nero8-fdb.iso	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
G:\Sicherungen 2011-06-27\Lw F 27.6.2011\SOFTWARE\CD+DVD\Nero\nero8-fdb.iso	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I

Ich versteh immer noch nicht ganz - hatte ich eine tatsächlich eine Rootkit-Infektion, oder hatte Avast einen Fehlalarm produziert?

Zweite Frage: Ist es normal, dass Avast ein Problem meldet (auf pagefile.sys) und ESET nicht?

Danke für Deine Mühe!

cosinus · 01.07.2011, 12:42

Es könnte sein, dass du ein MBR-Rootkit hattest, aber wir den den MBR ja gefixt.
ESET hat nur noch Fehlalarme, Fund ein Setups dadruch weil diese Toolbars enthalten. SOwas stuft ESET als Adware ein, was auch garnicht falsch ist. Toolbars sind wirklich unnötige Programme.

Das mit der pagefile kannste ignorieren. Die stammt eh aus einer alten Windows-Installation.
Rechner ansonsten wieder im Lot?

Detrimentol · 01.07.2011, 12:48

Ja, der Rechner zeigt kein unerwartetes und auch kein unerwünschtes Verhalten.

MBR aber hatten wir nicht gefixt - ich hatte einfach nur BootItNG deinstalliert (das den MBR verändert, was aber erwünscht ist. BootIt ist ein sehr gutes Partitionsprogramm, Bootmanager etc. in einem).

Nochmals danke.

cosinus · 01.07.2011, 12:49

Achso, dann hatte ich das falsch in Erinnerung.

Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Detrimentol · 01.07.2011, 12:53

OK, werd ich alles machen, danke.

Das einzige, was mir komisch vorkommt ist, dass alles wieder in Ordnung zu sein scheint, obwohl nichts gefixt worden ist. Ein Rätsel!

Detrimentol · 04.07.2011, 13:38

Hallo,
nach ein paar Tagen Ruhe meldet avast wieder:
msimgsiz.dat: Rootkit: system modification
Was soll ich tun?

msimgsiz.dat: Rootkit: system modification

Log-Analyse und Auswertung: msimgsiz.dat: Rootkit: system modification