Hallo liebe community,

nachdem ich bereits eine Menge gegoogelt habe, bin ich auf dieses Forum aufmerksam geworden.

Kurz zur Vorgeschichte:

Mir ist heute aufgefallen, dass der Antivir Guard in der Taskleiste deaktiviert war und sich auch nicht aktivieren ließ. Ich konnte dies aber mit Start > ausführen 'services.msc' entsprechend ändern.

Ebenfalls heute ist mir aufgefallen, dass mein PC plötzlich extrem lange zum booten braucht (gute 2 Minuten). Auch einige Programme reagieren nicht mehr nach dem Start, dazu gleich mehr.

Ich vermute mal, dass ich mir irgendwas eingefangen habe. Ich habe bereits einen Antivir Test durchlaufen lassen. Ergebnis ist, dass 3 Viren im Quarantäne bereich sind.

Nachdem ich hier im Forum das Programm Anti-Malware gefunden habe, dachte ich mir ich lass dieses auch einmal drüber laufen, um zu sehen ob weitere Dinge gefunden werden. Genau hier liegt aber mein Problem: Das Programm hängt sich sofort nachdem ich den ausführlichen Scanvorgang starte auf und reagiert nicht mehr.

Kann mir jemand weiterhelfen?

Hi,

wir versuchen mal ob wir was finden (bevor wir die Bazzuka auspacken):

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

chris

Hi Chris,

erstmal vielen Dank, dass du dich so schnell meinem Problem annimmst.

Ich habe Anti-Malware nochmal gestartet und einfach (obwohl es wieder direkt nach dem Scanbefehl nicht mehr reagierte) weiterlaufen lassen.

Nach ca. einer halben Stunde ist mir dann aufgefallen, dass ich nun die entsprechenden Laufwerke auswählen kann, also sich das Programm wieder 'gefangen' hat.

Ich habe nun den Scanvorgang für alle Laufwerke gestartet, diesen lass ich jetzt zu ende laufen und poste dann das Ergebnis hier hinein.

Soll ich danach die beiden Schritte die du mir vorgeschlagen hast direkt durchführen?

Hi,

ja, unbedingt für den Falls das MAM nicht alles erwischt...

chris

Hier mal der Log Bericht, den mir Anti-Malware erstellt hat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2775
Windows 6.0.6001 Service Pack 1

07.11.2009 22:00:10
mbam-log-2009-11-07 (22-00-02).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 509018
Laufzeit: 1 hour(s), 0 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Beide gefundenen Dateien habe ich aus dem Quarantäne Verzeichnis gelöscht.

Ich werde jetzt direkt die weiteren Schritte die du vorgeschlagen hast durchführen.

Hi,

hast du einen zweiten durchlauf gemacht, das MAM "No action taken" gemeldet hat?

chris

Nein, aber der PC wurde direkt nachdem ich die Datei löschen wollte neu gestartet.

Nach dem Neustart habe ich nochmals MAM ausgeführt und dann die beiden Dateien aus dem Quarantäne Bereich gelöscht.

Die Logdatei von RSIT kann ich hier nicht posten, weil leider eine Fehlermeldung wegen Zeichenüberschreitung kommt.

Hi,

Fileuplod:
http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich...

chris

Hi Chris,

die PN an dich mit der Log-Datei von RSIT habe ich geschickt.

Hier die Log-Datei von GMER:


GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-07 22:57:26
Windows 6.0.6001 Service Pack 1
Running: uhpctgh6.exe


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8B 0x7D 0xBA 0x8D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x86 0xAB 0xD8 0x81 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x61 0x20 0x27 0x03 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x04 0xDB 0xE9 0xA3 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x8B 0x7D 0xBA 0x8D ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh 0x86 0xAB 0xD8 0x81 ...

---- EOF - GMER 1.0.15 ----

Hi,

Analyse hat etwas gedauert...


Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen!
  (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“
  und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\spoolsv.exe
C:\Windows\UpdReg.EXE
N:\setupSNK.exe
M:\LaunchU3.exe -a
E:\Launcher.exe
L:\CD_Start.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

R3 - URLSearchHook: (no name) - - (no file)
         

Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Die spoolsv.exe bereitet mit noch sorgen, sie gehört eigentlich zu windows, fehlt aber lt. HJ-Log...

chris

Hi,

---
Edit:

Noch eine kurze Frage vorher Chris, da ich momenan HijackThis gestartet habe:

Soll ich alle (in meinem Fall 99) Dateien die HijackThis nach dem Scan gefunden hat fixen oder nur die Datei: R3 - URLSearchHook: (no name) - - (no file) fixen?

Edit2:

Ich habe jetzt nur R3 - URLSearchHook: (no name) - - (no file) gefixt.

---



also die Datei spoolsv.exe finde ich leider nicht, die scheint bei mir nicht vorhanden zu sein.

Hier die Analyse von Virustotal:

Datei Updreg.EXE empfangen 2009.11.07 22:26:54 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.07 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.07 -
Avast 4.8.1351.0 2009.11.07 -
AVG 8.5.0.423 2009.11.07 -
BitDefender 7.2 2009.11.07 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.07 -
Comodo 2876 2009.11.07 -
DrWeb 5.0.0.12182 2009.11.07 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.07 -
GData 19 2009.11.07 -
Ikarus T3.1.1.74.0 2009.11.07 -
Jiangmin 11.0.800 2009.11.07 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.07 -
McAfee 5795 2009.11.07 -
McAfee+Artemis 5795 2009.11.07 -
McAfee-GW-Edition 6.8.5 2009.11.07 -
Microsoft 1.5202 2009.11.07 -
NOD32 4582 2009.11.07 -
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 -
Panda 10.0.2.2 2009.11.07 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 -
Sunbelt 3.2.1858.2 2009.11.07 -
Symantec 1.4.4.12 2009.11.07 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.07 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 -
weitere Informationen
File size: 90112 bytes
MD5...: c419df63e0121d72411285780c2fc6cc
SHA1..: 1b9682064bc79c310c7b253d0cef2f4fa440a80d
SHA256: f47f854d327c589d174d3bb5b55d5c05f5aca73df52a6bef47596b9010190291
ssdeep: 1536:FCKO2KJuE9w/Trxouvji5ShsTTlsvl1N1IRkzURooa8KtC8nEVvykZa:595
sMau7wSxiRipoa8KRnEJyI
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1c72
timedatestamp.....: 0x391a146b (Thu May 11 02:01:15 2000)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbe7a 0xc000 6.51 beae102f5b3ae5a7b1e0d19b4e9f5f93
.rdata 0xd000 0x3954 0x4000 4.45 59767bfb28d43db70a8fcd8c16ef8fc1
.data 0x11000 0x3720 0x1000 3.48 08d4840b7c81cebb9accd5b6c20d4f78
.rsrc 0x15000 0x3008 0x4000 3.21 61287a355bc0b84511603aba85899d84

( 6 imports )
> KERNEL32.dll: GetStartupInfoA, GetCommandLineA, ExitProcess, RtlUnwind, TerminateProcess, HeapFree, GetOEMCP, HeapAlloc, RaiseException, HeapReAlloc, HeapSize, GetACP, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetStdHandle, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, IsBadReadPtr, IsBadCodePtr, CloseHandle, GetModuleFileNameA, GlobalLock, GlobalAlloc, GlobalDeleteAtom, WriteFile, SetErrorMode, GetCurrentProcess, FreeLibrary, GetProcessVersion, LoadLibraryA, GetFileType, HeapDestroy, HeapCreate, lstrcmpA, lstrcmpiA, GlobalAddAtomA, GetVersion, GetCurrentThreadId, GlobalGetAtomNameA, GetModuleHandleA, GlobalFindAtomA, GetLastError, MultiByteToWideChar, GetProcAddress, SetLastError, WideCharToMultiByte, WritePrivateProfileStringA, lstrcpyA, lstrcatA, InterlockedDecrement, GlobalFlags, lstrlenA, LocalReAlloc, lstrcpynA, TlsGetValue, GlobalReAlloc, TlsSetValue, EnterCriticalSection, GlobalHandle, LeaveCriticalSection, TlsFree, DeleteCriticalSection, GlobalUnlock, GlobalFree, LocalFree, TlsAlloc, InitializeCriticalSection, VirtualFree, LocalAlloc, SetHandleCount, GetCurrentThread
> USER32.dll: RemovePropA, CallWindowProcA, GetPropA, SetPropA, GetClassLongA, GetMessageTime, CreateWindowExA, DestroyWindow, DefWindowProcA, GetMenuItemID, GetSubMenu, GetMenu, RegisterClassA, GetClassInfoA, WinHelpA, GetCapture, GetTopWindow, CopyRect, GetClientRect, AdjustWindowRectEx, GetSysColor, MapWindowPoints, LoadIconA, LoadCursorA, GetSysColorBrush, LoadStringA, DestroyMenu, RegisterWindowMessageA, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, SetFocus, ShowWindow, SetWindowPos, GetForegroundWindow, GetMessagePos, SetForegroundWindow, GetDlgItem, GrayStringA, DrawTextA, TabbedTextOutA, ReleaseDC, GetDC, GetMenuItemCount, UnhookWindowsHookEx, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetClassNameA, GetMenuCheckMarkDimensions, LoadBitmapA, GetMenuState, ModifyMenuA, SetMenuItemBitmaps, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageA, GetCursorPos, SetWindowsHookExA, GetParent, GetLastActivePopup, SetWindowLongA, IsWindowEnabled, GetWindowLongA, MessageBoxA, EnableWindow, SetCursor, SendMessageA, PostMessageA, PostQuitMessage, GetWindowTextA, SetWindowTextA, wsprintfA, UnregisterClassA
> GDI32.dll: CreateBitmap, SaveDC, DeleteDC, SelectObject, GetStockObject, RestoreDC, SetBkColor, SetMapMode, SetViewportOrgEx, SetTextColor, SetViewportExtEx, ScaleViewportExtEx, OffsetViewportOrgEx, SetWindowExtEx, GetClipBox, ScaleWindowExtEx, GetDeviceCaps, RectVisible, TextOutA, PtVisible, Escape, ExtTextOutA, GetObjectA, DeleteObject
> WINSPOOL.DRV: DocumentPropertiesA, ClosePrinter, OpenPrinterA
> ADVAPI32.dll: RegSetValueExA, RegCreateKeyExA, RegCloseKey, RegQueryInfoKeyA, RegEnumKeyExA, RegOpenKeyExA, RegQueryValueExA, RegEnumValueA
> COMCTL32.dll: -

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
sigcheck:
publisher....: Creative Technology Ltd.
copyright....: Copyright (c) Creative Technology Ltd. 2000
product......: Creative Updreg
description..: Creative UpdReg
original name: Updreg.exe
internal name: Updreg
file version.: 1.0.2
comments.....: Creative Registry Update
signers......: -
signing date.: -
verified.....: Unsigned

Die Datein:

N:\setupSNK.exe
M:\LaunchU3.exe -a
E:\Launcher.exe
L:\CD_Start.exe

gibt es nicht bei mir auf dem PC.

Hi,

die Dateien werden in Mountpoints gestartet, d.h. sie liegen auf anderen Datenträgern (USB-Festplatte/Stick) etc.

Bitte noch Prevx durchführen, wenn das nichts meldet wären wir durch...

So, mache jetzt schluß für heute...

chris

Hi,

hier das Bild von den Dateien, die Prevx gefunden hat:





Ich danke dir ganz herzlich für deinen tollen Support!

Hi,

lass bitte die Dateien (bis auf den Reg.-Eintrag) bei virustotal überprüfen,
da PrevX gerne mal "Fehlalarme" verursacht (und wir wollen ja nicht z.B. den Tastaturtreiber löschen)...

Poste dann die Logs mit Filename und Pfad (das ich dann ggf. ein Löschscript bauen kann)...

chris

Hi Chris,

ich habe in der Zwischenzeit eine 1-Jahreslizenz von Prevx erworben und die als infiziert gemeldeten Dateien damit gelöscht.

Ich habe gehofft, dass mein Problem dadurch behoben werden kann. Leider ist das aber nicht der Fall, der PC ist immer noch extrem langsam.

Habe zwischenzeitlich schon versucht das System neuzuinstallieren, leider muss ich feststellen dass nun mein DVD Laufwerk keine DVDs mehr erkennt.. echt zum verrückt werden.