Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: MBR Rootkit/Windows XP updates

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.05.2009, 16:56   #1
gnubbel
 
MBR Rootkit/Windows XP updates - Standard

MBR Rootkit/Windows XP updates



Hallo, wahrscheinlich habe ich mir einen Rootkit/MBR Rootkit eingefangen. Nach Hinweisen durch Antivir etc. dass auf meinem System ein Trojaner/Rootkit wäre, habe ich mich entschlossen, das System neu aufzusetzen. Nach Googlen habe ich die Partition D mit der MS Computerverwaltung neu formatiert. Danach System mit der Start CD gesartet und mit Restore, Fixboot bzw. Fixmbr ausgeführt. Danach komplett neu mit Format C:

Nachdem ich nacheinander SP2 , SP3 und IE8 installiert habe, wollte ich das System via Windows update auf den neuesten Stand bringen. Zuerst sollte ich ein Update Installations-Tool installieren (habe ich leider gemacht) und danach das Windows Genuine... (Überprüfung auf Original). Bei der Suche nach nötigen updates, ging ziemlich schnell, sollte ich 33 updates installieren und danach neu starten. Seitdem verhält sich das System auffällig: z.B. ist im abgesicherten Modus der PrevX Monitor abgeschaltet.
Da ich diesen ganzen .... schon mal gemacht hatte, habe ich nach jedem Schritt GMER und Hijack im Normal und im abgesicherten Modus scannen lassen. Bis zu den updates hatte GMER keine Meldungen und Hijack meiner Meinung nach keine Auffälligkeiten (die reports habe ich noch). Danach gab es aber Meldungen. Die Suche mit MBR.exe ergab keinen Report.

Ich hoffe, ihr könnt mir helfen und brauche keine neue Festplatte

Hier die Reports:

CCleaner hinterliess folgenden Rest:

Code:
ATTFilter
Ungenutzte Datei-Endungen	{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}	HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
         
Malwarebytes:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2092
Windows 5.1.2600 Service Pack 3

08.05.2009 16:51:03
mbam-log-2009-05-08 (16-51-03).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 92931
Laufzeit: 8 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Hijackthis:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:37, on 08.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Prevx\prevx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Prevx\prevx.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\CCleaner\CCleaner.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1241777432160
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

--
End of file - 3434 bytes
         
Uninstall-Liste:

Code:
ATTFilter
Adobe Flash Player 10 ActiveX
Autorun Virus Remover 2.3
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
HijackThis 2.0.2
Hotfix für Windows XP (KB952287)
Malwarebytes' Anti-Malware
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Prevx 3.0
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB923789)
Sicherheitsupdate für Windows XP (KB938464-v2)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950760)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
Update für Windows XP (KB898461)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Windows Internet Explorer 8
Windows XP Service Pack 3
         

Gmer 1:

Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-08 14:01:56
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT   F7A830BE                                  ZwCreateKey
SSDT   F7A830B4                                  ZwCreateThread
SSDT   F7A830C3                                  ZwDeleteKey
SSDT   F7A830CD                                  ZwDeleteValueKey
SSDT   F7A830D2                                  ZwLoadKey
SSDT   F7A830A0                                  ZwOpenProcess
SSDT   F7A830A5                                  ZwOpenThread
SSDT   F7A830DC                                  ZwReplaceKey
SSDT   F7A830D7                                  ZwRestoreKey
SSDT   F7A830C8                                  ZwSetValueKey
SSDT   F7A830AF                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntoskrnl.exe!_abnormal_termination + 351  804E29AD 3 Bytes  [30, A8, F7]

---- EOF - GMER 1.0.15 ----
         
Gmer2

Code:
ATTFilter
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-05-08 14:53:36
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  pxsec.sys (Prevx Realtime Analysis/Prevx)  ZwTerminateProcess [0xF7679680]

---- EOF - GMER 1.0.15 ----
         

Alt 08.05.2009, 17:05   #2
4RobSen8
 
MBR Rootkit/Windows XP updates - Standard

MBR Rootkit/Windows XP updates



Hallo...und
Zitat:
80b8c23c-16e0-4cd8-bbc3-cecec9a78b79
Was das angeht so kann ich dich beruhigen:
Dieses Problem tritt seit dem Update von Avira Antivir auf - diese Software
legt einen Schlüssel in der Registry an, welcher durch einen Selbstschutz
gesperrt ist.
__________________

__________________

Antwort

Themen zu MBR Rootkit/Windows XP updates
abgesicherten modus, antivir, antivir guard, avira, desktop, explorer, festplatte, flash player, google, hijack, hkus\s-1-5-18, internet, internet explorer, microsoft, monitor, neu, neue festplatte, object, outlook express, programme, registrierungsschlüssel, scan, software, starten., suche, system, system neu, updates, virus, windows, windows xp



Ähnliche Themen: MBR Rootkit/Windows XP updates


  1. Windows Updates abgebrochen
    Diskussionsforum - 28.06.2015 (4)
  2. Windows 7: Trojaner - Windows Updates, Firewall defekt
    Log-Analyse und Auswertung - 20.03.2015 (24)
  3. Windows 7 - Startmenü fehlerhaft und keine Windows updates
    Plagegeister aller Art und deren Bekämpfung - 15.10.2014 (25)
  4. windows updates
    Alles rund um Windows - 30.08.2014 (4)
  5. Windows Updates Fehlgeschlagen
    Alles rund um Windows - 25.06.2014 (8)
  6. Trojaner und/oder Rootkit blockiert Avira Echtzeitscanner und Windows Updates
    Log-Analyse und Auswertung - 29.05.2014 (19)
  7. Windows 7 Starter startet nach Updates nicht mehr (Microsoft Office Updates)
    Log-Analyse und Auswertung - 31.03.2014 (15)
  8. Windows 7 64 bit: Windows Updates werden nicht installiert (Fehler: Code 80246008)
    Log-Analyse und Auswertung - 08.01.2014 (1)
  9. Windows XP Updates nicht mehr möglich /Windows Firewall ist immer beim Start deaktiviert
    Antiviren-, Firewall- und andere Schutzprogramme - 26.05.2013 (82)
  10. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  11. Wichtige Windows Updates schlagen fehl - Verdacht auf Rootkit
    Log-Analyse und Auswertung - 11.09.2012 (11)
  12. Rootkit.Agent trotz frischem System mit Updates - Onlinebanking gesperrt
    Plagegeister aller Art und deren Bekämpfung - 09.07.2010 (3)
  13. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  14. Windows Updates Funktionieren nicht und andere Updates.
    Log-Analyse und Auswertung - 10.04.2009 (21)
  15. Problem mit Rootkit/updates werden nicht durchgeführt
    Log-Analyse und Auswertung - 21.10.2008 (1)
  16. Windows Updates
    Alles rund um Windows - 15.02.2006 (11)

Zum Thema MBR Rootkit/Windows XP updates - Hallo, wahrscheinlich habe ich mir einen Rootkit/MBR Rootkit eingefangen. Nach Hinweisen durch Antivir etc. dass auf meinem System ein Trojaner/Rootkit wäre, habe ich mich entschlossen, das System neu aufzusetzen. Nach - MBR Rootkit/Windows XP updates...
Archiv
Du betrachtest: MBR Rootkit/Windows XP updates auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.