"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"

cosinus · 11.08.2010, 07:11

Zuerst mal bitte - falls noch nicht getan - die Datei remover.exe (vom BootkitRemover) vom Desktop nach c:\windows\system32 kopieren!
Danach die Konsole starten über Start, Ausführen, cmd eintippen, ok.

Den Text im folgenden Codefeld eintippen und mit Enter/Return ausführen:

Code:

ATTFilter

remover.exe fix \\.\PhysicalDrive0

no-one · 11.08.2010, 11:33

gesagt - getan...

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Dokumente und Einstellungen\xxx>remover.exe fix \\.\PhysicalDrive0
Bootkit Remover
(c) 2009 eSage Lab
esage lab - main

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Restoring boot code at \\.\PhysicalDrive0...
OK

Done;
Press any key to quit...

und nun? was mach ich jetzt?

gruß,
no-one

cosinus · 11.08.2010, 11:43

Zur Kontrolle remover.exe doppelklicken und Ausgabe posten.

no-one · 11.08.2010, 11:57

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)

Done;
Press any key to quit...

cosinus · 11.08.2010, 12:11

Ok. Mach noch mal bitte einen weiteren Durchgang mit CF, lad die Datei wieder neu herunter als cofi.exe, die alte vorher löschen. Ich trau dem Braten nämlich noch nicht so ganz, aber der MBR ist schonmal in Ordnung!

no-one · 11.08.2010, 12:32

Combofix:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-08-10.06 - xxx 11.08.2010  13:22:20.5.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.738 [GMT 2:00]
ausgef¸hrt von:: c:\dokumente und einstellungen\xxx\Desktop\CoFi.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-07-11 bis 2010-08-11  ))))))))))))))))))))))))))))))
.

2010-08-11 10:37 . 2010-08-11 10:37	275792	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\general\bases\av\kdb\i386\win\avengine.dll
2010-08-11 10:37 . 2010-08-11 10:37	166584	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\klwtblc.dll
2010-08-11 10:37 . 2010-08-11 10:37	125624	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\shellex.dll
2010-08-11 10:37 . 2010-08-11 10:37	109240	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\rollback\patch\AutoPatches\kav11\11.0.0.232\sbstart.exe
2010-08-11 10:37 . 2010-08-11 10:37	129720	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\shellex.dll
2010-08-11 10:37 . 2010-08-11 10:37	113336	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\sbstart.exe
2010-08-11 10:37 . 2010-08-11 10:37	170680	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtblc.dll
2010-08-11 10:30 . 2010-07-21 17:50	81920	----a-w-	c:\windows\system32\remover.exe
2010-08-10 21:40 . 2008-04-14 02:22	26624	----a-w-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
2010-07-18 17:40 . 2010-07-18 17:40	--------	d-----w-	c:\programme\Roadkil.Net
2010-07-18 17:08 . 2008-05-02 08:41	3493888	---ha-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3\temp\Launchpad Removal.exe
2010-07-18 17:02 . 2007-10-23 07:27	110592	----a-w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3\temp\cleanup.exe
2010-07-18 16:51 . 2010-07-18 17:06	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\U3
2010-07-15 19:14 . 2010-07-15 19:14	88760	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\libola.dll
2010-07-15 19:14 . 2010-07-15 19:14	387768	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\ksn_client.dll
2010-07-15 19:14 . 2010-07-15 19:14	191160	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\klwtbbho.dll
2010-07-15 19:14 . 2010-07-15 19:14	264888	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav11\11.0.0.232\esmgr.dll
2010-07-15 19:14 . 2010-07-15 19:14	1037648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\sw2\klavasyswatch.dll
2010-07-15 19:10 . 2010-08-11 10:35	283984	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Data\Updater\Temporary Files\temporaryFolder\bases\av\kdb\i386\win\avengine.dll
2010-07-15 19:07 . 2010-08-11 10:37	97549	----a-w-	c:\windows\system32\drivers\klick.dat
2010-07-15 19:07 . 2010-08-11 10:37	113933	----a-w-	c:\windows\system32\drivers\klin.dat
2010-07-15 19:06 . 2010-08-11 11:20	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2010-07-15 19:06 . 2010-07-15 19:06	--------	d-----w-	c:\programme\Kaspersky Lab
2010-07-15 19:05 . 2010-07-15 19:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2010-07-15 17:29 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2010-07-15 17:25 . 2010-07-15 17:25	--------	d-----w-	c:\programme\Windows Sidebar
2010-07-15 17:25 . 2010-07-15 19:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2010-07-15 17:25 . 2010-07-15 17:25	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2010-07-13 17:56 . 2010-07-13 17:56	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Malwarebytes
2010-07-13 15:29 . 2010-07-18 16:48	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2010-07-13 15:29 . 2010-07-13 15:29	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
2010-07-12 15:25 . 2010-07-12 15:25	--------	d-sh--w-	c:\dokumente und einstellungen\LocalService\IETldCache
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\programme\Bonjour
2010-07-12 15:09 . 2010-07-12 15:10	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple
2010-07-12 15:09 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Apple Computer

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-11 10:37 . 2010-05-06 13:00	283984	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\avengine.dll
2010-07-18 17:31 . 2010-03-06 10:33	--------	d-----w-	c:\programme\PantsOff
2010-07-18 16:50 . 2010-07-12 15:11	--------	d-----w-	c:\dokumente und einstellungen\xxx\Anwendungsdaten\Apple Computer
2010-07-15 19:15 . 2010-05-07 10:34	1037648	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP11\Bases\klavasyswatch.dll
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iTunes
2010-07-12 15:11 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\iPod
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\programme\QuickTime
2010-07-12 15:10 . 2010-07-12 15:10	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2010-07-12 15:09 . 2010-07-12 15:09	--------	d-----w-	c:\programme\Apple Software Update
2010-07-08 19:26 . 2002-06-27 16:34	448470	----a-w-	c:\windows\system32\perfh007.dat
2010-07-08 19:26 . 2002-06-27 16:34	80104	----a-w-	c:\windows\system32\perfc007.dat
2010-07-08 19:15 . 2010-07-08 19:11	--------	d-----w-	c:\programme\ANNO 1503
2010-07-08 19:11 . 2009-12-30 23:34	--------	d--h--w-	c:\programme\InstallShield Installation Information
2010-06-15 18:01 . 2010-06-15 18:01	72504	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.2.0.61\SetupAdmin.exe
2010-06-14 14:31 . 2009-12-10 23:19	744448	----a-w-	c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
2010-05-18 14:35 . 2010-05-18 14:35	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-05-18 14:35 . 2010-05-18 14:35	75040	----a-w-	c:\windows\system32\jdns_sd.dll
2010-05-18 14:35 . 2010-05-18 14:35	197920	----a-w-	c:\windows\system32\dnssdX.dll
2010-05-18 14:35 . 2010-05-18 14:35	107808	----a-w-	c:\windows\system32\dns-sd.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintr‰ge & legitime Standardeintr‰ge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-05-02 4640768]
"nwiz"="nwiz.exe" [2003-05-02 323584]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2010-06-15 141624]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2011\avp.exe" [2010-05-07 344736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Dokumente und Einstellungen\\xxx\\Desktop\\Battlefield 1942\\BF1942.exe"=
"d:\\games\\Battlefield 1942\\BF1942.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14.09.2009 14:42 32272]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02.11.2009 20:27 19472]
S0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [03.02.2010 15:02 5248]
S1 kl2;Kl2;c:\windows\system32\drivers\kl2.sys [07.05.2010 00:19 132184]
S4 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [03.02.2010 15:02 160640]
.
.
------- Zus‰tzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\xxx\Anwendungsdaten\Mozilla\Firefox\Profiles\i7e097m9.default\
FF - prefs.js: browser.startup.homepage - about:blank
FF - component: c:\programme\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\kavlinkfilter.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2010-08-11 13:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteintr‰ge... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run???\??????[???????[???[???[???????????????[???[???[???[$??????[???????????????[????????<??[???w????(????$?w???w?????$?w ??w???[????????d???V??[???[???[d???-??[^3?[???[b??wTJ?[?)?[?)?[htinst.I????*1?[H??[d?????????? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-08-11  13:30:04
ComboFix-quarantined-files.txt  2010-08-11 11:30
ComboFix2.txt  2010-07-18 14:04
ComboFix3.txt  2010-07-14 13:47
ComboFix4.txt  2010-07-14 11:37

Vor Suchlauf: 10 Verzeichnis(se), 123.129.942.016 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 123.121.123.328 Bytes frei

- - End Of File - - C5C3F3EB764F1F0D6317F91602E5BDF3

--- --- ---
wie stehts um den PC?

cosinus · 11.08.2010, 12:37

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

no-one · 11.08.2010, 13:45

erstmal Malwarebytes:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4418

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.08.2010 14:37:49
mbam-log-2010-08-11 (14-37-49).txt

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 196402
Laufzeit: 52 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)

no-one · 11.08.2010, 15:29

und bei SUPER AntiSpyware ist nichts bei rausgekommen (keine schädlichen Dateien gefunden)...

hört sich gut an, odeR?

cosinus · 11.08.2010, 15:43

Gut, dann bitte die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

11.08.2010, 11:43	#33
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" - Standard$ "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" Zur Kontrolle remover.exe doppelklicken und Ausgabe posten. __________________ __________________

11.08.2010, 12:37	#37
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	$"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" - Standard$ "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe" Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! __________________ Logfiles bitte immer in CODE-Tags posten

"WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"

Plagegeister aller Art und deren Bekämpfung: "WORM/Rbot.425984" in "C:\WINDOWS\system32†\smss.exe"