Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.02.2012, 17:12   #1
Maeusegreis
 
MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O. - Standard

MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.



Hallo zusammen,

die den Regeln folgenden Schritte habe ich intensiv gelesen und auch versucht, diese umzusetzen.

Ergebnis:

- Defogger funktioniert und gibt auch ein Log aus, dann Neustart.

- Beide Varianten des DDS funktionieren nur bis der Fortschrittsbalken ca. 70 % erreicht hat, dann hängt sich das System komlett auf ( nur Mauszeiger funktioniert noch). => Resettaste

- Habe dennoch GMER versucht ( Bitdefender soweit wie möglich deaktiviert und Malewarebytes geschlossen, alle anderen Programme geschlossen). GMER ( hat bei mir den Namen Theodor.exe bekommen) hängt sich und das System nach ca. 15 Sekunden auf. Kurz vorher versucht GMER auf die DVD- Laufwerke zuzugreifen. => Resettaste Anmerkung: Habe gestern bereits in verschiedenen Foren nachgelesen und auch von GMER bei mir die MBR.exe gestartet: Kurz vor Einfrieren erfolgt im Fenster die Meldung "EA- Geraetefehle"; die Logs bleiben leer. Beim Start im abgesicherten Modus gleiches Ergebnis.

Kurze Info zu meinem System:

- Windows XP SP3 32Bit mit allen aktuellen Updates
- Verwendung des IE8
- Virenscanner Total Scurity 2010 von Bitdefender, aktuell
- Seit 18.02. aktuelle Version von Malwarebytes installiert, dafür Spybot deinstalliert.
- Festplatten und 2 CD- Laufwerke sind SCSI
- Internetzugang erfolgt über Fritz!- Software


Nun zu meinem Problem:

Vor 10 Tagen habe ich bei einer Google- Suche auf einer renommierten Seite einen Scriptangriff erlebt (Script.SWF.Cxx). Mein Bitdefender hat dieses erkannt und gesperrt. Habe sofort die Internetverbindung gekappt = Kabel gezogen. Nichts destotrotz versuchte anschließend eine Anwendung unter verschiedenen Namen wie renovator.exe oder licensevalidator.exe usw. im 20 Sekunden- Rythmus sich in der Registry einzutragen. Killen der Prozesse brachte nichts. Bitdefender hat dies jedoch alles geblockt. Nur eine Betätigung des Ausschaltknopfes konnte dies beenden. Nach erneutem Hochfahren war Ruhe. Habe ungefähr 20 Dateien in meinen Dokumentenverzeichnissen mit diesen verschiedenen Namen gefunden und mit Safeerase gelöscht. Ein Registryscan zeigte keinerlei Einträge o.ä. dieser Dateien. Komisch war nur, dass in der Wiederherstellungskonsole alle bisherigen Sicherungen weg waren und ich das System nicht auf ein älteres Datum zurücksetzen konnte. Habe die Wiederherstellungskonsole dann für alle Laufwerke deaktiviert und ist seitdem deaktiviert.

Habe anschließend einen tiefen Systemscan mit Bitdefender und Spybot durchgeführt. Keine Auffälligkeiten. Somit war es für mich erst mal gut.

Seit Freitag habe ich dann ungewöhnliche eigenständige Internetaktivitäten im Fritzfenster festgestellt. Es wurden jeweils Dateien in der Größenordnung von ca. 3-5 MB heruntergeladen. Bitdefender oder der I.E. waren dies nicht. Ein Komplettscan des Systemlaufwerkes ergab keinerlei Hinweis auf eine erstellte oder geänderte Datei im fraglichen Zeitraum. Da wurde ich stutzig.

Habe dann Spybot entfernt und Malwarebytes Vollversion installiert. Beim ersten System- Vollcheck wurde dann in einem ewig nicht benutzten Verzeichnis die Malware "Worm.Koobface" gefunden und in Quarantäne gestellt. Prompt hat dann auch Bitdefender diesen erkannt und aktiv gemault.

Danach ging meine Suche los:

1.) Malwarebytes: Keine Risiken bzw. Befunde

2.) Bitdefender Online- Scanner durchlaufen lassen: Keine Risiken bzw. Befunde

3.) Sophos Antirootkit, Ergebnis = SP3- Dateien als "Hidden files" in einer wenig benutzten Partition im Service Pack- Verzeichnis von SP3 deklariert. Habe keine Aktion getätigt.

4.) TDSS- Killer: Keine Risiken bzw. Befunde

5.) McAfee Stinger: Keine Risiken bzw. Befunde

6.) GMER und MBR ( Ergebnis siehe oben)

7.) Netstat- Batch- Schleife geschrieben und heute folgende Auffälligkeit gefunden: static.175.73.40.188.clients.your-server.de:http wartend. Diese statische IP gehört zu einem Server in China.

(Alle verwendeten Programme entsprachen dem letzten Aktualisierungsstand.)

Zusatzinfo:

Habe vor einer Woche mit Gparted meine Systempartition erweitert. Hat alles bestens funktioniert, nur der Grafiktreiber hatte sich selbst repariert. ???

Vor ca. 1 Jahr hatte ich Probleme mit der 2. ( nicht System-) SCSI- Festplatte. Diese blieb häufig beim Datenzugriff für einige Sekunden "stehen" und erlaubte dann wieder den Zugriff. Habe dann alle Daten von dort auf eine IDE- Platte gesichert. Nach einigen Wochen war das Problem von selber weg und die Platte läuft seitdem wie am Schnürchen.


Abschließend meine Fragen:

a.) Funktioniert ggfs. GMER aufgrund meiner erweiterten SCSI- Systempartition oder der Verwendung von Gparted nicht richtig?

b.) Habe ich mir ein echt fieses MBR- Rootkit eingefangen?

c.) Ist die gefundene statische IP-Adresse bereits hinsichtlich Rootkits bekannt oder doch ganz harmlos?


Vielen Dank im voraus für Eure Unterstützung und Entschuldigung für die doch sehr detaillierte und lange Beschreibung.


Gruß

Maeusegreis

Geändert von Maeusegreis (19.02.2012 um 17:42 Uhr)

Alt 29.02.2012, 19:26   #2
Maeusegreis
 
MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O. - Standard

MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.



Liebe Kolleginnen und Kollegen,

dieses Thema bitte schließen.

Habe mein System aus Zeitgründen in professionelle Hände gegeben. Läuft wieder ohne Probleme.

Danke und Gruß


Maeusegreis
__________________


Alt 29.02.2012, 19:28   #3
markusg
/// Malware-holic
 
MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O. - Standard

MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.



hi,
dein thema ist uns irgendwie entgangen, sorry dafür und beim nächsten mal gerne wieder melden :-)
__________________
__________________

Antwort

Themen zu MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.
bitdefender, dateien, defender, eigenständige, festplatte, foren, frage, gmer rootkit absturz xp, hängt, ip-adresse, log, malwarebytes, mbr rootkit, mbr-rootkit, namen, problem, programme, prozesse, rechner hängt sich auf, registry, reset, scan, seite, sekunden, sophos, sp3, suche, system, windows, windows xp, worm.koobface, zurücksetzen



Ähnliche Themen: MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.


  1. Windows 7: PC hängt nach längerer Benutzung und lässt sich nicht mehr starten
    Log-Analyse und Auswertung - 04.04.2015 (6)
  2. Windows 7: PC stockt und hängt sich auf bei Benutzung von Browsern (Firefox, Chrome)
    Log-Analyse und Auswertung - 02.12.2014 (21)
  3. WindowsUpdate Probleme! PC hängt sich auf! GMER lässt sich nicht ausführen! Virus?
    Plagegeister aller Art und deren Bekämpfung - 19.02.2014 (14)
  4. GMER meldet "hidden rootkit activity" & Rechner langsam
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (19)
  5. Nach Antimalwarebites-Benutzung hängt sich Rechner auf
    Plagegeister aller Art und deren Bekämpfung - 09.07.2012 (27)
  6. USB-Stick kann nicht formatiert werden, alles hängt sich dann auf!
    Netzwerk und Hardware - 12.06.2012 (7)
  7. Rootkit lässt sich nicht entfernen Gmer stürzt mit Bluescreen ab!
    Plagegeister aller Art und deren Bekämpfung - 11.11.2011 (13)
  8. Seltsame Dateien die leer sind, sonst keine Funde von vielen Scannern
    Plagegeister aller Art und deren Bekämpfung - 09.11.2011 (37)
  9. Rechner hängt sich bei GMER seit "Entfernung" von Windows Recovery auf
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (23)
  10. Rechner langsam, reagiert erst sehr spät.....und bei Scan hängt sich gmer-exe auf
    Plagegeister aller Art und deren Bekämpfung - 03.01.2011 (37)
  11. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  12. Computer hängt sich oft auf - Logs von MAM, GMER, OTL zur Auswetung
    Log-Analyse und Auswertung - 31.10.2010 (15)
  13. Firefox/Internet Explorer, alles hängt sich auf!
    Log-Analyse und Auswertung - 13.03.2010 (1)
  14. TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER
    Plagegeister aller Art und deren Bekämpfung - 19.07.2009 (3)
  15. Rechner langsam / Gmer meldet "Rootkit/Malware"
    Log-Analyse und Auswertung - 20.04.2009 (14)
  16. Rootkit laut Gmer, HJT ohne Erfolg? delete klappt nicht:(
    Mülltonne - 13.11.2008 (0)
  17. Comp. hängt sich auf bei Benutzung von ClearProg
    Alles rund um Windows - 16.11.2005 (2)

Zum Thema MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O. - Hallo zusammen, die den Regeln folgenden Schritte habe ich intensiv gelesen und auch versucht, diese umzusetzen. Ergebnis: - Defogger funktioniert und gibt auch ein Log aus, dann Neustart. - Beide - MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O....
Archiv
Du betrachtest: MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.