Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ auf Win XP Pro SP 3
 

Hallo liebe Forumsmitglieder!

Ich wende mich an Euch, weil mein Problem vertrackt zu sein scheint und ich etwas den Überblick verloren habe, was ich noch machen muss, um mein System wieder sauber hinzubekommen - und ob ich das überhaupt kann oder ob ihr mir ratet, das System platt zu machen. :killpc:

Vielen Dank erst einmal, dass Ihr hier so tolle Hilfe leistet! Ich habe mich schon durch die Anleitungen und einige Threads (mein Problem ähnelt wohl dem Thread browser-spinnen-nach-2-trojaner) gelesen, um mein Problem zu lösen - allerdings: mit jedem gelöschten Trojaner kamen zwei neue. :heulen:

Also, ich beginne erst einmal, das Problem zu beschreiben und berichte dann, welche Schritte ich alles schon unternommen habe (ich verwende Windows XP Professional Service Pack 3).

Begonnen hat es mit einer Datei, die ich ausgeführt habe, im Glauben, es wäre eine sichere Datei. Daraufhin meldete sich die Norman Security Suite, er habe zwei Trojaner entdeckt und in Quarantäne gesteckt. Dann begannen aber die eigentlichen Probleme. Sofort ging es mit Autorun.inf Meldungen los - dabei hatte ich eigentlich noch einige Tage vorher die Autorun-Funktion auf allen Laufwerken deaktiviert (und vorher noch das Windows-Update heruntergeladen, das die ordnungsgemäße Deaktivierung der Funktion gewährleisten soll).

Ich schreib mal auf, was die Norman Security Suite alles gefunden hat:

So. Dann hab ich mir verschiedenen Programme heruntergeladen, die hier empfohlen wurden. Die Dateiendungen und die versteckten Dateien werden bei mir ohnehin angezeigt, das hab ich noch mal überprüft.

Also, Autoruneater geladen und gestartet, hat auch brav noch zwei gefunden.

Dann habe ich, weil ich das hier irgendwo gelesen hatte, mit Shift + Entf die Dateien in den recycled-Ordner auf den verschiedensten Platten bzw. Partitionen zu löschen, anfangs mit mäßigem Erfolg, weil immer Zugriffskonflikte gemeldet wurden. Schließlich ist es mir aber doch gelungen.

Dann habe ich über den Ausführen-Befehl msconfig gestartet und ipconfig /flushdns ausgeführt, um die DNS-Server wieder zu löschen. Ich weiss nicht mehr, ob die dabei gelöscht wurden, oder ob das vorher schon der Malwarebytes' Anti-Malware gemacht hatte, aber da waren auf jeden Fall welche eingestellt!

Sobald die Autorun.inf-Dateien eliminiert waren, meldeten sich im Systemtray rechts nacheinander drei Programme, die Autorun-Datei wäre defekt, ich solle irgendwas (CHDMX? Es war eine Buchstabenkombination, die ich mir nicht merken konnte, bei den ganzen 1000 Fehlermeldungen) ausführen. Zunächst billy.exe - offensichtlich Teil des Viruses. Dann später noch RTHDCPL.exe und dann ALCMTR.exe. Laut Filenet sind das Dateien, die vom Realtek Soundsystem verwendet werden, die aber auch von Viren befallen sein können, vor allem, wenn sie im System-Ordner oder im Windows-Ordner seien. :(

Daraufhin wollte ich schauen, wo die Dateien sich befinden - aber siehe da, der oder die Trojaner hatten meine Windows-Suche außer Funktion gesetzt, sofort gab's einen Bluescreen.

So, dann habe ich Malwarebytes' Anti-Malware starten wollen - ging aber nicht. Dann hab ich den Trick mit dem Umbenennen angewandt (von exe auf com), das klappte dann wunderbar. Hier die Logliste:

Dann Neustart und MAM nochmal gestartet:

Das ganze dann x-mal, und jedesmal wurde der Gaopdxcounter von neuem gefunden. :(

Daraufhin habe ich Avenger gestartet. Siehe da, er hat einen Rootkit gefunden.

Allerdings macht mich stutzig, dass da nur "disabled" statt "deleted" stand. Ich hab vorher auf "automatically disable" bei den gefundenen rootkits geklickt, weil ich dachte, dass die ja sonst fröhlich weiterlaufen. Mhm, das hat mich allerdings verunsichert, wie ich den Rootkit denn sonst noch löschen kann.

Dann noch mal gestartet, und mit etwas Übung dann versucht, Treiber und Dateien zu löschen.

Damit der Thread nicht noch länger wird, schicke ich es schon mal ab und mache gleich weiter mit meinem Bericht. :)

Fortsetzung: Trojaner gaopdxcounter, autorun.inf, Rootkit & W32/Renos.CNZ
 

So, nachdem ich mir nicht sicher war, ob der Avanger alles gefunden hat bzw. ob dadurch Folgeprobleme aufgetaucht sind, hab ich noch mal MBAM gestartet.

(Bzw. war das vielleicht noch mal kurz vorher, weil ja der Gao.Dingens noch drin steht?)

Dann noch einmal:
Dann wollte ich auch mal meinen HJT-Log posten, den ich währenddessen erstellt hatte:

Dann MBR.exe gestartet:

Catch Me log:

Blacklight Log:

SuperAntiSpyware-Log 1:

SuperAntiSpyware-Log 2 (versehentlich nur schneller Scan, fällt mir jetzt auf), im abgesichertem Modus:

SuperAntiSpyware-Log 3:

Mit dem SuperAntiSpyware hab ich auf sicherheitshalber den repair broken safe boot key ausgeführt.

So, dann hab ich noch GMER durchlaufen lassen:

Teil 2, da für einen Post zu lang:

Nachdem mittlerweile meine exe-Dateiendung bei MBAM wieder funktioniert und meine Windowssuche auch, habe ich geschaut, wo die beiden Dateien RTHDCPL.exe und dann ALCMTR.exe liegen. Und mich beunruhigt etwas, dass die Dateien drei mal vorhanden sind, im Programmordner von Realtek selbst, dann unter den Systemdateien in c:\windows\system32\reinstallbackups\0011\DriverFiles) und unter c:\windows\. Mhm.

Daraufhin hab ich die RTHDCPL.exe mal bei Virus Total hochgeladen.

Da habe ich den Log mal abgekürzt, weil es so viele Zeichen waren, dass ich 7 oder 8 Beiträge dafür hätte schreiben müssen. Ich hätte die log-Datei gerne als txt-Datei hochgeladen, aber sie war mit über 300 kb deutlich zu groß (vorgesehen sind 19,5 kb).

Dann habe ich noch Advanced SystemCare ausgeführt und vorher, wie empfohlen, einen Systemwiederherstellungspunkt erstellt, nachdem ich vorher die Systemwiederherstellung deaktiviert hatte, um alle alten Systemwiederherstellungspunkte zu löschen.

Und jetzt weiss ich nicht, was ich noch machen soll.

Was mich noch irritiert: Das Desktophintergrundbild war auf einmal weg, aber da hatte ich gerade den Bildschirmschoner der Norman Security Suite ausgestellt, um die Scan-Programme nicht zu unterbrechen.

Aber seitdem ich das Bild wieder eingestellt habe (zumindest kommt es mir so vor, dass so ein Zusammenhang bestehen könnte), wird zum einen die Beschriftung der Desktopsymbole nicht mehr farblich mit einem rechteckigen Rand unterlegt, sondern stattdessen haben die Buchstaben einen deutlichen schwarzen Schatten.

Und, was ich fast noch merkwürdiger finde:
Einige Programme, darunter mein Notepad, sehen auf einmal verändert aus. Die Auswahlmöglichkeiten >Datei< >Bearbeiten< >Format< >Ansicht< und >?< sind auf einmal mit einem weißen Rechteck hinterlegt, was auffällt, da der Rest ja hellgrau ist.

Ich wäre Euch wirklich sehr dankbar, wenn Ihr meine Logfiles kommentieren könnten und mir Hinweise geben könntet, was ich noch alles versuchen könnte, um wieder alles sauber zu haben.
Danke!

Hi,

das sieht ja alles recht chaotisch aus, nicht einfach wild aus allen möglichen Threads irgendwelche Scripts/Lösungen ausprobieren... das richtet mehr Schaden an als das es nützt...Grrr

Es wurden Sachen auf Laufwerk E gefunden, daher alles was seid der Infektion an den Rechner angeschlossen war (USB-Geräte mit Speicher, z.B. Festplatten, MP3-Player, Kameras, Sticks, ...) mit gedrückter Shift-Taste wieder anschließen.

Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird
Hinweis: unter : C:\WINDOWS\erdnt
wird ein Backup angelegt.
Alternative downloads: http://subs.geekstogo.com/ComboFix.exe

Dr. Web und Rsit:
Dannach im abgesicherten Modus noch Drweb cureit reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!


RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.
Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Hi Chris,

erst einmal vielen Dank, dass Du mir hilfst!

Hm, das wollte ich natürlich nicht, Asche auf mein Haupt. :eek: Ich weiss auch nicht, ob es an meiner vielleicht nicht immer sortierten Erklärung liegt. Aber nachdem der einfache Weg (einfach mit Shift+Entf löschen und mit autoruneater sowie mbam bereits vollständig Erfolg haben) doch nicht ging, habe ich mich im wesentlichen an den einen Thread gehalten, den ich oben angegeben habe, bilde ich mir ein. Ich dachte mir, dass mir ohnehin vorgeschlagen wird, ausser hjt auch den ccleaner, mbam und den avenger zu starten, so dass ich das schon mal machen wollte. :/

Ok, wird gemacht!

Auf der Anleitungspage steht, wie ich die Wiederherstellungskonsole installieren kann, auf der Microsoft HP gibt allerdings nur Links für Win XP bzw. XP Pro SP 1 + 2, ich hab aber SP 3. In meinem Startbildschirm ist die Wiederherstellungskonsole auch schon installiert (also sie wird beim Starten angezeigt, aber ich weiss natürlich nicht, ob man da irgendwas aktualisieren muss o.ä.), meine ich, dann kann ich den Schritt überspringen, oder?

Ich habe mir alle Programm heruntergeladen und führe die Schritte gleich nacheinander aus. Ich würde nur gerne wegen der Wiederherstellungskonsole (da startet man doch im Prinzip in einer Art Dos-Modus, oder?) sichergehen, nicht dass ich schon wieder übereifrig etwas mache.

Noch einmal Danke für Deine Hilfe!
me.

Hi,

den Schritt mit der Wiederherstellungskonsole kannst Du überspringen...

chris

So, weiter gehts. :)

Combofix

Dr. Web

Teil 1

Teil 2

Teil 3

Teil 4

Teil 5

(Zeichenbegrenzung auf 25000 pro Post reichen bei meinen Logs nicht)

Der Log vom Gesamtscan ist viel zu groß, selbst als txt mehrere mb groß. Da würde ich dich um weitere Anweisungen bitten, ob ich einzelne Informationen herauskopieren soll. Deshalb erstmal nur die Statistik:

RSIT

log.txt

Fortsetzung folgt

Fortsetzung

info.txt

Bei den Daten, bei denen ich mir sicher war, habe ich bei Dr. Web auf "Desinfizieren" bzw. "löschen" geklickt (die ganzen Sachen, die in den recycler-Ordnern drin waren bzw. die eindeutig waren. Dann gab es einige, wo ich mir unsicher war, da habe ich auf "desinfizieren" bzw. "verschieben geklickt". Im Dr. Web find ich es etwas unübersichtlich, wohin denn die verschobenen Dateien verschwunden sind bzw. wie ich im Fall, dass ich die aus der Quarantäne zurückholen möchte, vorgehen soll.

Wie von Dir geschrieben, habe ich den Dr. Web im abgesicherten Modus durchlaufen lassen. Der vollständige Scan hat ewig gedauert (über Nacht), so dass ich mich jetzt erst melde. Da wurden auch einige Sachen gefunden (siehe Logdatei), wobei diese Datei so groß war, dass dauernd mein Editor bzw. später mein Word, auf das ich gewechselt habe, abgestürzt sind.

Mhm, leider geht seit diesen Schritten, die ich machen sollte, mein norman antivirus nicht mehr. :confused:

Wenn ich das Programm starte, erscheint ein Bildschirm, dass entweder das System aktualisiert wird oder das "Netzwek" (OHNE r!) nicht da wäre.

Deshalb habe ich dort erstmal zur Sicherheit das Internet nicht mehr angestellt, weil ich mir nicht sicher bin, was jetzt los ist (bin gerade an einem anderen Rechner).

Was soll ich tun? Ich bin jetzt etwas ratlos, denn mein Norman hat die ganze Zeit funktioniert. Vielleicht hängt das damit zusammen, dass der auch eine Norman.bin Datei als "wahrscheinlich infiziert" gefunden hat, die habe ich aber absichtlich noch nicht löschen lassen, sondern nur verschieben lassen.

Hi,

Dr. Web hat eine Datei von norman verschoben, daher bitte neu installieren
(in irgendeinem Logs war das, schau mal ob ich es noch finde)...
Hier:
c:\programme\norman\npm\bin\zanda.exe - nicht desinfizierbar - verschoben
falls weitere verschoben wurden in Dr. Web wieder freigeben..

Achtung:
Da sind einige Treiber/Dienste dich ich nicht indentifizieren kann, daher möglichst wenig im Internet mache, bis die Sachen geklärt sind:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

chris

Hi Chris,

danke für deine Hilfe, nachdem immer wieder neue Sachen gefunden wurden, habe ich nun sozusagen kapituliert. Mein Bruder, der zum Glück ein Abbild von meinem System gespeichert hat, hat mir das Abbild wieder draufgespielt, weil er meinte, dass man ein Rootkit nie 100%ig loswerden kann. Sorry dass ich deinen Rettungsprozess jetzt sozusagen abgebrochen habe, aber mein Bruder meinte, dass es so herum sicherer wäre.

Jetzt bin ich natürlich damit beschäftigt, die ganzen Windows-Updates etc. wieder zu installieren und nochmal alles zu checken, damit mir das nicht noch mal passiert. Muss mal schauen, womit ich mich noch zusätzlich absichern kann (außer natürlich selbst aufpassen, aber das hilft auch nicht immer).

Noch einmal tausend dank für deine Hilfe!
:dankeschoen:

Danke!
help me

Hi,

nichts zu danken, das System neu aufzusetzen ist auf jeden Fall der beste Weg!

Schöne Oster,
chris & out

Ich finde es toll, dass du (und die anderen hier) gerne hilfst, aber ich finde es eben nicht selbstverständlich, deshalb wollte ich mich gerne noch mal ausdrücklich bedanken! :daumenhoc

Frohe Ostern,
help me