möglicherweise rootkit virus befall
 

Guten Tag
Ich komme zu euch mit folgendem Problem

vor ein paar tagen hatte ich besuch von jemanden der nicht ganz so versiert mit dem thema Computer war/ist .Ergebniss =Virenbefall , der sich so bemerkbar macht das beim hochfahren des rechners kurz vor dem desktop ein dialogfeld kommt wo steht das persönliche einstellungen für eine bestimmte svshost.exe (ja svshost.exe kein schreibfehler) geladen werden , was ja schon einmal fast wie svchost.exe aussieht . Ich war natürlich gleich alarmiert da diese in system32 lief

Nächster schritt war ,na klar : hijackthis ausführen
auch gleich fündig geworden :

HKLM\..\Run: [HKLM] C:\WINDOWS\system32\svshost\svshost.exe
HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\svshost\svshost.exe
HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\svshost\svshost.exe

(bei bedarf kann ich auch noch einmal den gesamten log posten )

versuch zu fixen resultierte darin das nach einem neustart die ganze schose wieder da war

auch ein scan mit Avira Antivir brache keinen erfolg da dieses nicht einmal besagten treffer fand

da ich aber leider zu den paranoiden leuten gehöre die mehrere antiviren programme besitzen habe ich kurz noch einmal malewarebytes anti malware durchlaufen lassen

fund: generic.bot.h
(bei bedarf auch der ganze log verfügbar )

meine annahme daher ein rootkit virus (hoffe mal ich liege damit nicht all zu falsch )

meine frage nun : ich besitze GMER , könnte man mir eventuell damit helfen da ich o.g programm noch nicht all zu häufig benutz habe und nichts kaputt machen will .Gibt es andere schritte die ich ergreifen könnte ? Format C wäre sehr unpraktisch da meine windows xp cd leider versehentlich eine unheimliche bekanntschaft mit meinem fuß gemacht hat und nun leider einen riss hat

vielen dank für die hilfe im vorraus
freue mich auf eure antworten
GZ Trioxin

Hallo und :hallo:

Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Vielen dank für die schnelle hilfe !
habe aber in zwischenzeit mal ein bisschen rummprobiert und meine antiviren armada im abgesichertem modus laufen lassen , und siehe da ! es scheint nichtmehr aufzutauchen
zur sicherheit hier aber noch der lop s&d log :

--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) D CPU 3.00GHz )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Administrator ( Administrator )
BOOT : Normal boot
C:\ (Local Disk)
D:\ (Local Disk)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 22.12.2009|15:33 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[19.06.2009|15:04] C:\DOKUME~1\ADMINI~1\ANWEND~1\Adobe
[02.11.2009|23:14] C:\DOKUME~1\ADMINI~1\ANWEND~1\BSplayer Pro
[20.10.2009|02:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\codeblocks
[26.08.2009|02:38] C:\DOKUME~1\ADMINI~1\ANWEND~1\Dev-Cpp
[16.12.2009|15:09] C:\DOKUME~1\ADMINI~1\ANWEND~1\dvdcss
[02.08.2009|12:31] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQ Toolbar
[19.06.2009|20:58] C:\DOKUME~1\ADMINI~1\ANWEND~1\ICQLite
[19.06.2009|16:53] C:\DOKUME~1\ADMINI~1\ANWEND~1\Logitech
[19.06.2009|15:01] C:\DOKUME~1\ADMINI~1\ANWEND~1\Macromedia
[28.11.2009|03:30] C:\DOKUME~1\ADMINI~1\ANWEND~1\Malwarebytes
[29.08.2009|02:15] C:\DOKUME~1\ADMINI~1\ANWEND~1\Microsoft
[27.11.2009|19:27] C:\DOKUME~1\ADMINI~1\ANWEND~1\Miranda
[19.06.2009|15:40] C:\DOKUME~1\ADMINI~1\ANWEND~1\Mozilla
[13.09.2009|16:54] C:\DOKUME~1\ADMINI~1\ANWEND~1\Real
[13.11.2009|18:51] C:\DOKUME~1\ADMINI~1\ANWEND~1\skypePM
[19.06.2009|18:18] C:\DOKUME~1\ADMINI~1\ANWEND~1\Sun
[19.12.2009|21:54] C:\DOKUME~1\ADMINI~1\ANWEND~1\teamspeak2
[19.11.2009|23:28] C:\DOKUME~1\ADMINI~1\ANWEND~1\Tor
[15.09.2009|23:44] C:\DOKUME~1\ADMINI~1\ANWEND~1\Trillian
[19.06.2009|14:48] C:\DOKUME~1\ADMINI~1\ANWEND~1\TuneUp Software
[22.12.2009|15:28] C:\DOKUME~1\ADMINI~1\ANWEND~1\uTorrent
[26.09.2009|11:38] C:\DOKUME~1\ADMINI~1\ANWEND~1\Ventrilo
[19.11.2009|23:28] C:\DOKUME~1\ADMINI~1\ANWEND~1\Vidalia
[17.12.2009|01:34] C:\DOKUME~1\ADMINI~1\ANWEND~1\vlc
[0|Datei(en)] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes
[26|Verzeichnis(se),] C:\DOKUME~1\ADMINI~1\ANWEND~1\Bytes frei

[19.06.2009|14:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{55A29068-F2CE-456C-9148-C869879E2357}
[12.09.2009|22:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\{EF63305C-BAD7-4144-9208-D65528260864}
[16.09.2009|18:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[22.06.2009|15:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Blizzard
[19.06.2009|15:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[29.11.2009|23:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
[19.06.2009|16:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\LogiShrd
[19.06.2009|16:52] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Logitech
[19.06.2009|18:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MailFrontier
[28.11.2009|03:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[19.09.2009|17:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[17.11.2009|21:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[27.11.2009|22:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MicroWorld
[27.11.2009|22:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA Corporation
[04.11.2009|07:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecuROM
[27.11.2009|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[28.11.2009|05:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
[28.11.2009|06:07] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[19.06.2009|14:48] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[21|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[19.06.2009|14:23] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[19.06.2009|14:23] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[19.06.2009|14:23] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks


--------------------\\ Ordner Verzeichnis unter C:\Programme

[22.06.2009|20:04] C:\Programme\Abdio
[27.11.2009|22:27] C:\Programme\AGEIA Technologies
[21.12.2009|19:31] C:\Programme\Alwil Software
[16.09.2009|18:13] C:\Programme\Avira
[21.06.2009|22:38] C:\Programme\CCleaner
[04.11.2009|07:35] C:\Programme\DIFX
[26.11.2009|02:10] C:\Programme\DivX
[20.12.2009|02:21] C:\Programme\DVDVideoSoft
[19.12.2009|17:45] C:\Programme\EA GAMES
[21.06.2009|21:54] C:\Programme\Elaborate Bytes
[17.07.2009|19:06] C:\Programme\Executive Software
[17.09.2009|00:21] C:\Programme\FreeCap
[21.12.2009|03:37] C:\Programme\Gemeinsame Dateien
[21.07.2009|01:58] C:\Programme\GNU
[20.09.2009|14:28] C:\Programme\ICQLite
[28.11.2009|04:01] C:\Programme\ICQToolbar
[21.12.2009|03:37] C:\Programme\InstallShield Installation Information
[16.09.2009|00:08] C:\Programme\Internet Explorer
[19.06.2009|18:18] C:\Programme\Java
[28.10.2009|21:49] C:\Programme\Logitech
[28.11.2009|03:30] C:\Programme\Malwarebytes' Anti-Malware
[20.10.2009|02:06] C:\Programme\MessengerPlus! 3
[15.09.2009|23:12] C:\Programme\Microsoft
[27.11.2009|22:24] C:\Programme\microsoft frontpage
[22.06.2009|20:15] C:\Programme\Microsoft Office
[15.09.2009|23:17] C:\Programme\Microsoft SQL Server Compact Edition
[15.09.2009|23:40] C:\Programme\Microsoft Sync Framework
[27.11.2009|19:17] C:\Programme\Miranda IM
[27.11.2009|22:24] C:\Programme\movie maker
[22.12.2009|15:21] C:\Programme\Mozilla Firefox
[16.09.2009|00:09] C:\Programme\MSBuild
[22.06.2009|20:15] C:\Programme\MSECache
[19.06.2009|14:22] C:\Programme\MSN Gaming Zone
[27.11.2009|14:32] C:\Programme\MSN Messenger
[27.11.2009|22:24] C:\Programme\netmeeting
[27.11.2009|22:29] C:\Programme\NVIDIA Corporation
[27.11.2009|22:24] C:\Programme\outlook express
[16.09.2009|00:09] C:\Programme\Reference Assemblies
[19.12.2009|17:02] C:\Programme\Smart Projects
[21.12.2009|17:40] C:\Programme\SpeedFan
[20.11.2009|00:47] C:\Programme\Spybot - Search & Destroy
[27.11.2009|22:18] C:\Programme\SystemRequirementsLab
[26.10.2009|15:13] C:\Programme\Teamspeak2_RC2
[30.06.2009|12:15] C:\Programme\Trend Micro
[28.08.2009|21:58] C:\Programme\TuneUp Utilities 2009
[19.06.2009|14:46] C:\Programme\VIA
[06.07.2009|22:07] C:\Programme\Vidalia Bundle
[03.08.2009|22:26] C:\Programme\VideoLAN
[02.11.2009|23:14] C:\Programme\Webteh
[20.08.2009|23:25] C:\Programme\Windows Journal Viewer
[27.11.2009|14:31] C:\Programme\Windows Live
[16.09.2009|16:18] C:\Programme\Windows Live SkyDrive
[19.06.2009|14:23] C:\Programme\Windows Media Player
[27.11.2009|22:24] C:\Programme\windows nt
[19.06.2009|14:53] C:\Programme\WinRAR
[27.11.2009|22:24] C:\Programme\xerox
[19.06.2009|18:23] C:\Programme\Zone Labs
[0|Datei(en)] C:\Programme\Bytes
[59|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[22.06.2009|11:30] C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
[26.11.2009|02:10] C:\Programme\Gemeinsame Dateien\DivX Shared
[20.12.2009|02:21] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[21.12.2009|03:37] C:\Programme\Gemeinsame Dateien\Futuremark Shared
[24.09.2009|07:38] C:\Programme\Gemeinsame Dateien\InstallShield
[19.06.2009|16:52] C:\Programme\Gemeinsame Dateien\Logishrd
[28.10.2009|21:49] C:\Programme\Gemeinsame Dateien\Logitech
[27.11.2009|22:24] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[27.11.2009|22:05] C:\Programme\Gemeinsame Dateien\MicroWorld
[19.06.2009|14:22] C:\Programme\Gemeinsame Dateien\MSSoap
[19.06.2009|15:20] C:\Programme\Gemeinsame Dateien\ODBC
[19.06.2009|16:15] C:\Programme\Gemeinsame Dateien\Real
[27.11.2009|22:24] C:\Programme\Gemeinsame Dateien\speechengines
[19.06.2009|14:22] C:\Programme\Gemeinsame Dateien\System
[19.06.2009|16:22] C:\Programme\Gemeinsame Dateien\Windows Live
[29.11.2009|23:07] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[19.06.2009|16:15] C:\Programme\Gemeinsame Dateien\xing shared
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[19|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 28 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-22 15:34:58
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 2

--------------------\\ Suche nach anderen Infektionen


Kein anderen Infektionen gefunden !

[F:36][D:8]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
[F:41][D:0]-> C:\DOKUME~1\ADMINI~1\Cookies
[F:708][D:4]-> C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\content.IE5
[F:1][D:1]-> C:\$Recycle.Bin

1 - "C:\Lop SD\LopR_1.txt" - 22.12.2009|15:25 - Option : [1]
2 - "C:\Lop SD\LopR_2.txt" - 22.12.2009|15:35 - Option : [1]

--------------------\\ Scan beendet um 15:35:2

Die zwei 'hidden files' sehen weniger gut aus :dummguck: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

welche logs werden denn nun genau gebraucht ? bin gerade ein wenig überfordert

Ich brauch zwei Logs von RSIT (info.txt und log.txt) und eins von Malwarebytes

Würde auch eine .rar Datei gehen ?

wenn ja : http://www.file-upload.net/download-.../Logs.rar.html

Jo klar geht das :D

Hm also wenn ich mich recht erinnere, ist die msconfig nicht in system32 sondern in C:\WINDOWS\pchealth\helpctr\binaries - daher bitte mal bei Virustotal.com auswerten lassen (die in system32!!). Oder hast Du sie mal da hinkopiert? :dummguck:

Datei noch vorhanden? Wenn ja auch bei Virustotal.com hochladen! Ergebnislink posten!


Danach den Avenger anwenden

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

also msconfig.exe scheint sauber zu sein, stehen zumindest keine funde .
die svshost.exe hat malewarebytes wohl schon gekillt oder sie ist getarnt ,wobei ich eher ersteres annehme .

ein paar fragen hätte ich da denn noch ...
kann ich meinem system jetz noch trauen ? oder hat sich durch die infizierung eventuell ein backdoor programm eingeschlichen ? wäre dann nicht doch ein format c angebracht? ( habe mittlerweile eine neue windows cd bekommen ) möchte ja schließlich nicht das meine passwörter auf dubiosen hacker sites erscheinen

Streng genommen kannst Du Deinem System erst wieder trauen, wenn es formatiert, neu aufgesetzt und abgesichert wurde. Eine Bereinigung ist per Definition unsicher :rolleyes:

Wenn Du magst machst Du bitte noch einen Durchlauf mit Combofix:


ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

vielen dank für die hilfe erst einmal !
aber
wenn das system nichtmehr so ganz sicher ist setze ich es lieber neu auf da ich einige wichtige accounts von meinem pc aus aufrufe die ich ungern gefährden möchte

vielen dank noch einmal für die hilfe

GZ trioxin