Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit eingefangen ?! Oder eher Windows-Prob ?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.08.2007, 20:42   #1
cardisch
 
Rootkit eingefangen ?! Oder eher Windows-Prob ?! - Standard

Rootkit eingefangen ?! Oder eher Windows-Prob ?!



Hallo zusammen, Zuerst einmal "Entschuldigung", dass dieser Thread seeeeeeehr lang ist (und ich den genauso bei MCSE-board.de abgestellt habe ;-)). habe seit gestern folgendes Problem: XP SP2 auf Core2Duo auf Intel 975 Chipsatz, Internet über einen DSL-Router, GDATA 2007 Internet Security (um den Rechner grob zu beschreiben). Ich wollte mir Felgengutachten (wheelmachine.de) runterladen, dazu habe ich mein Fahrzeug ausgewählt (Marke Ford), dann springt der Rechner normalerweise zu einer Unterkategorie, damit ich das Modell auswählen kann (hier Mondeo). Das klappte ganz gut, sowohl mit IE7 als auch mit Mozilla 2.0. Mittendrin wurde der Rechner etwas träge, die Browser aktualisierten sich nicht mehr, ich dachte meine Internetverbindung wäre gekappt. Rechner und Router neu gestartet, danach habe ich jetzt folgende Phänomene: - Windows Update geht nicht mehr (Bekomme ein weisses Browserfenster, angeblich mit "fertig"-geladen-Status. - Abgesichert komme ich auf die Seite, aber wegen nicht gestarteter Dienst kann ich keine Updates sehen/laden. - Per Automtischer Update-Funktion ist alles im grünen Bereich. - Die oben erwähnte Auswahlfunktion mit automatischer "Feldauswahl" geht weder im IE, noch im Mozilla. - In GMX (per HTTP-Zugriff) kann ich nicht mehr die Funktion alle (hier 10 Stück) auswählen, um enbloc E-Mails zu löschen, die Häkchen dazu werden nicht mehr gesetzt.. Kleine Auffälligkeit am Rande: Ping zu windowsupdate.microsoft.com geht zur 207.46.225.221 der IE aber auf 207.46.18.94 (Ich vermute aber, dass das ein MS-IP-Block ist)Habe schon den IE runtergeschmissen und neu installiert (den Mozilla noch nicht), den Befehl SFC durchgeführt, ohne Erfolg. Wollte dann einen Systemwiederherstellungspunkt zurücksichern, geht aber nicht (konnte nur im abges. Modus überhaupt einen finden), der ist aber mit kryptischer Fehlermeldung a la "konnte nicht zurücksichern" gescheitert ist. Habe Vollscan mit GData, Windows Tool, Adaware, Spybot und McAffee Rootkit-detector durchgeführt, bis auf letzterem ohne Erfolg. Zum McAffee: Er hat folgende "hidden-Services" und Registry-Keys gefunden, die ich aber ohne fremde Hilfe nicht deuten kann: -Object-Type: Registry-key Object-Name: DataC:\WINDOWS\system32\drivers\GDTdiIcpt.sys Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data Status: Hidden -Object-Type: Registry-key Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-key Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Item Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Status: Hidden -Object-Type: Registry-key Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden -Object-Type: Registry-value Object-Name: Value Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden Kann das jemand deuten !? Oder mir anderweitige Tipps geben, falls keine kompromitierung vorliegt !? Vielen Dank Carsten

Alt 17.08.2007, 20:50   #2
myrtille
/// TB-Ausbilder
 
Rootkit eingefangen ?! Oder eher Windows-Prob ?! - Standard

Rootkit eingefangen ?! Oder eher Windows-Prob ?!



Füg bitte noch ein paar Absätze ein. So kann man das doch nicht lesen.

lg myrtille
__________________


Alt 18.08.2007, 08:42   #3
cardisch
 
Rootkit eingefangen ?! Oder eher Windows-Prob ?! - Standard

Rootkit eingefangen ?! Oder eher Windows-Prob ?!



sorry, ist mir selbst gerade erst aufgefallen ;-((Hallo zusammen, Zuerst einmal "Entschuldigung", dass dieser Thread seeeeeeehr lang ist (und ich den genauso bei MCSE-board.de abgestellt habe ;-)). habe seit gestern folgendes Problem: XP SP2 auf Core2Duo auf Intel 975 Chipsatz, Internet über einen DSL-Router, GDATA 2007 Internet Security (um den Rechner grob zu beschreiben). Ich wollte mir Felgengutachten (wheelmachine.de) runterladen, dazu habe ich mein Fahrzeug ausgewählt (Marke Ford), dann springt der Rechner normalerweise zu einer Unterkategorie, damit ich das Modell auswählen kann (hier Mondeo). Das klappte ganz gut, sowohl mit IE7 als auch mit Mozilla 2.0. Mittendrin wurde der Rechner etwas träge, die Browser aktualisierten sich nicht mehr, ich dachte meine Internetverbindung wäre gekappt. Rechner und Router neu gestartet, danach habe ich jetzt folgende Phänomene: - Windows Update geht nicht mehr (Bekomme ein weisses Browserfenster, angeblich mit "fertig"-geladen-Status. - Abgesichert komme ich auf die Seite, aber wegen nicht gestarteter Dienst kann ich keine Updates sehen/laden. - Per Automtischer Update-Funktion ist alles im grünen Bereich. - Die oben erwähnte Auswahlfunktion mit automatischer "Feldauswahl" geht weder im IE, noch im Mozilla. - In GMX (per HTTP-Zugriff) kann ich nicht mehr die Funktion alle (hier 10 Stück) auswählen, um enbloc E-Mails zu löschen, die Häkchen dazu werden nicht mehr gesetzt.. Kleine Auffälligkeit am Rande: Ping zu windowsupdate.microsoft.com geht zur 207.46.225.221 der IE aber auf 207.46.18.94 (Ich vermute aber, dass das ein MS-IP-Block ist)Habe schon den IE runtergeschmissen und neu installiert (den Mozilla noch nicht), den Befehl SFC durchgeführt, ohne Erfolg. Wollte dann einen Systemwiederherstellungspunkt zurücksichern, geht aber nicht (konnte nur im abges. Modus überhaupt einen finden), der ist aber mit kryptischer Fehlermeldung a la "konnte nicht zurücksichern" gescheitert ist. Habe Vollscan mit GData, Windows Tool, Adaware, Spybot und McAffee Rootkit-detector durchgeführt, bis auf letzterem ohne Erfolg. Zum McAffee: Er hat folgende "hidden-Services" und Registry-Keys gefunden, die ich aber ohne fremde Hilfe nicht deuten kann: -Object-Type: Registry-key Object-Name: DataC:\WINDOWS\system32\drivers\GDTdiIcpt.sys Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data Status: -Object-Type: Registry-key Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-key Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Item Data Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D} Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000 Status: Hidden -Object-Type: Registry-value Object-Name: Display String Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Status: Hidden -Object-Type: Registry-key Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Status: Hidden -Object-Type: Registry-key Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2 Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden -Object-Type: Registry-value Object-Name: Value Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows Status: Hidden Kann das jemand deuten !? Oder mir anderweitige Tipps geben, falls keine kompromitierung vorliegt !? Vielen Dank Carsten
__________________

Antwort

Themen zu Rootkit eingefangen ?! Oder eher Windows-Prob ?!
.com, browser, drivers, e-mails, fehlermeldung, folge, gdata, geht nicht, geht nicht mehr, ie7, internet, internet security, kompromitierung, löschen, mozilla, neu, problem, rootkit, security, seite, software, spybot, system32, träge, update, updates, verbindung, vielen dank, windows, windows tool, windows update, windows\system32\drivers



Ähnliche Themen: Rootkit eingefangen ?! Oder eher Windows-Prob ?!


  1. Trojaner und/oder Rootkit blockiert Avira Echtzeitscanner und Windows Updates
    Log-Analyse und Auswertung - 29.05.2014 (19)
  2. Fund von PUP.Optional.Wajam.A, Neuinstallation fällig oder eher "nur" unerwünschte Software
    Log-Analyse und Auswertung - 26.11.2013 (19)
  3. AVAST: Rootkit-Warnung bei Windows Update oder Fehlalarm ?
    Log-Analyse und Auswertung - 19.04.2013 (2)
  4. Grafikkarte oder doch eher Netzteil?
    Alles rund um Windows - 27.08.2012 (2)
  5. Prob mit Rootkit.0Access / AR/TRAPS.Gen
    Plagegeister aller Art und deren Bekämpfung - 10.07.2012 (27)
  6. Antivir Fund gefährlich ? Lohnt eine Suche oder eher das System neu aufspielen ?
    Log-Analyse und Auswertung - 09.04.2012 (32)
  7. JS-Trojaner oder eher harmlos?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (1)
  8. LNK exploit oder Zero Acsess rootkit eingefangen
    Plagegeister aller Art und deren Bekämpfung - 03.08.2011 (1)
  9. click.GiftLoad oder TR/Crypt.XPACK.Gen2 oder Rootkit.TDSS.Gen ?
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (3)
  10. Bios oder eher Hadeware (Motherboard) Problem ?
    Netzwerk und Hardware - 01.04.2010 (1)
  11. Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?
    Log-Analyse und Auswertung - 06.03.2010 (41)
  12. Virus oder eher nicht ??
    Antiviren-, Firewall- und andere Schutzprogramme - 06.09.2009 (3)
  13. Verbraucher"schutz" oder eher "-gefährdung"?
    Diskussionsforum - 26.08.2009 (2)
  14. kann man(n)s retten oder eher nicht ?! -_-
    Plagegeister aller Art und deren Bekämpfung - 04.08.2009 (1)
  15. Ergebnis Escan. Schlimm, oder eher harmlos?
    Log-Analyse und Auswertung - 17.03.2006 (22)
  16. Virus oder anderes Prob?
    Log-Analyse und Auswertung - 03.10.2004 (1)
  17. Spamschutz oder eher Verwaltung
    Überwachung, Datenschutz und Spam - 29.05.2003 (6)

Zum Thema Rootkit eingefangen ?! Oder eher Windows-Prob ?! - Hallo zusammen, Zuerst einmal "Entschuldigung", dass dieser Thread seeeeeeehr lang ist (und ich den genauso bei MCSE-board.de abgestellt habe ;-)). habe seit gestern folgendes Problem: XP SP2 auf Core2Duo auf - Rootkit eingefangen ?! Oder eher Windows-Prob ?!...
Archiv
Du betrachtest: Rootkit eingefangen ?! Oder eher Windows-Prob ?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.