[HaBo]

Adrenochrom

Anzeige

Hallo Leute,

ich bin ganz stark am Verzweifeln.
Alles fing an als ein sog. Freund seinen Usb-Stick bei mir einsteckte und irgendwas installierte.
Jetzt hab ich den Salat..... Ich sehe das überf Win Nt Benutzerkonten mit vollen Admin Rechten bestehen, das ALLE meine dateien übers Netz versendet worden sind, das ein paar Ports offen sind ( diese kann ich aber nicht schließen).
Ich hab mich bisschen in die Welt von dll´s und mmc eingearbeitet um den ganzen mist zu verstehen... ( check aber unterm Strich gleich 0 )
ich hab lauter versteckte ordner und skripte hinter bildern und mp3´s...über all Desktop.ini dateien in denen irgendwas mit root steht. Ständig wird eine Remotedesktopverbindung aktiviert...bzw isses laufend in zuletzt verwendeter programme. Ich sehe nen Recycled ordner und irgendwelche ordner die mit S-1-0-.3-15 und so ähnlich beschriftet sind auf die ich aber keinen zugriff hab....Dienste sind offen die ich net schließen kann wie automatische anmeldungs konfiguration, wlan configuration was weiß ich alles.
Jetzt zum großen Problem. Ich hab den rechner per dban bestimmt schon 5 mal platt gemacht, zusätzlich fixmbr bzw mbr.exe laufen lassen... ich bekomm die Seuche net weg. Ich kann mit meiner eigenen Xp Cd nicht mal mehr installieren.

mbr.log

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600

device: opened successfully
user: error reading MBR
error: Read Das Handle ist ungültig.
kernel: error reading MBR


HiJackthis.log:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:19:37, on 21.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.e xe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
D:\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [BrowserChoice] "C:\WINDOWS\system32\browserchoice.exe" /run (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/...?1294153421703
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1290703591343
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CCEC15B-A50B-468E-9E66-717F61D03F88}: NameServer = 193.254.160.1 193.254.160.1
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: WTGService - Unknown owner - C:\Programme\T-MobileInternetManager12\WTGService.exe

--
End of file - 5140 bytes


also das sind aber nicht die logs von meinem sondern meiner freundin ihrem rechner der auch versecht ist....gesamt handelt es sich um ein netbook mit xp, einem pc mit vista und nem Laptop mit xp-alle verseucht.

P.s: Im fiurefox wird laufend was mit default user angezeigt und im explorrer was mit winNt-autoritäts anmeldung oder so

Bitte helft mir.

Brabax

Ein Mal die Festplatte komplett überschreiben und den MBR löschen! (bzw. anders herum ). Das geht z. B. mit den Tools von Acronis.

Google mal die RootKit Geschichte, die du da stehen hast, dann erfährst du besser, was es ist.

lG

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

bitmuncher

1. Sicherstellen, dass im BIOS der Virusschutz deaktiviert ist (sofern vorhanden)
2. Live-CD booten
3. mit der Live-CD den MBR säubern
4. mit der Live-CD die Platten löschen
5. Installations-CD booten
6. System installieren
7. im BIOS den Virenschutz wieder aktivieren (sofern vorhanden)

Es bringt nämlich recht wenig den MBR aus einem infizierten System heraus zu überschreiben, da ja das Rootkit durch einen Trojaner/Virus sofort wieder neu installiert werden kann.

__________________

.:L

Sind weitere Rechner in deinem Netzwerk? Wenn ja, mach auch die Platt.

__________________
fat people are hard to kidnap

Brabax

Die beschriebenen Schritte sind in einem laufenden System mit der System-HDD gar nicht möglich (man sägt ja den Ast ab, auf den man sitzt). Deswegen hatte ich darauf verzichtet dies zu erwähnen.

Trotzdem Danke für den Nachtrag.

lG

__________________

<< Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >>

<< Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >>

<< Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

enkore

Was er erzählt klingt teilweise aber ganz normal. Die S-Ordner gibts immer, man kann eben nicht jeden Dienst beenden, sofern man nicht NT Authority aka Kernel ist.
Wie kommst du zu dem Schluss das in deinen Bildern/MP3 Skripte stecken?

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Adrenochrom

welche rootkit geschichte? kenn mich leider nicht so gut aus

nachtrag:
habs grad erst gesehen sorry- aber ie kann das noch da sein wenn ich mit ner dban live-cd platt gemacht hab? der mist kommt immer und immer wider

Adrenochrom

ich hab die ordneransicht geändert und seither werden mir manche bilder mit blauer schrift angezeigt- ein freund meinte ich solle die bilder mal in anderen programmen öffnen, editor, notepad, exel, power point, word, open office und und und....und ab und an zeigts komische sachen an. genauo wie das hier in einer despktop.ini :
[LocalizedFileNames]
E-Mail-Empfänger.MAPIMail=@sendmail.dll,-4
Desktop (Verknüpfung erstellen).DeskLink=@sendmail.dll,-21
ZIP-komprimierten Ordner.ZFSendToTarget=@zipfldr.dll,-10148


ich kenn mich ja echt nicht gut aus aber das liest sich komisch für mich .
könnt ihr mir bitte helfen und mir detailiert schildern wie ich vorgehe?
ich hab mit puppylinux meine daten gesichert und dann mit einer dban live cd überschrieben... aber der mist kommt immer wider...aber dban überschreibt doch auch den mbr oder?
mir wollte jetzt einer ne neue hdd verkaufen weil er meinte ich bekomm den mist nicht weg, aber das gibts doch bestimmt ne kostengünstigere variante- hoff ich zumindest.
Vorab schon mal vielen dank für Eure/ Deine bemühungen.

Gruß Thomas

beavisbee

ich finde auch, dass viele Sachen, die er schreibt, ganz normal klingen... als hätte er sich mal alle versteckten und System-Dateien anzeigen lassen und ist plötzlich verwundert, was alles so an "merkwürdigen" Dateien auf dem System rum-liegt...

Der Code der angeblich bösen desktop.ini's wäre natürlich mal interessant...

Thunderb0lt

Blaue Dateinamen bei Windows XP bedeuten in der Regel, dass die entsprechende Datei archiviert wurde, um Speicherplatz zu sparen. Über die Sinnhaftigkeit lässt sich streiten, aber das ist nichts schlimmes.

Adrenochrom

das ist natürlich ne gute hilfe-lol...sorry... ich weiß auf jeden fall sicher das alle meine bilder verschickt wurden bzw alle meine dateien..... ich hab mein lan kapel nicht angeschlossen und hab keinen wlan router- trotz abgeschaltetem wlan hab ich nen datentransfer.... kann mir das evtl jemand erklären?
ab und an werden unter zuletzt verwendete dateien bilder und dokumente angezeigt die ich ewig nicht mehr genutzt habe

beavisbee

woher?
Ja, es handelt sich eindeutig um HokusPokus. Leider ist meine letzte funktionierende Kristall-Kugel letzte Woche zu Bruch gegangen.

Ernsthaft: was hast du an Netzwerkgeräten und woher nimmst du die Information, es würden (obwohl du angeblich weder Kabel- noch WLAN-Verbindung hättest) irgendwelche Daten gesendet?

hat außer dir noch jemand Zugang zu dem Gerät?

und den Code der angeblich bösen desktop.ini hast du auch noch nicht gepostet, auf dass wir nachschauen könnten, ob da wirklich was dran ist oder ob du nur ein wenig paranoid bist...

Adrenochrom

1:
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-237
LocalizedResourceName=@shell32.dll,-28995

2:
[DeleteOnCopy]
Owner=Besitzer
Personalized=13
PersonalizedName=Eigene Musik
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12689
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-237

3:
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

4:
[LocalizedFileNames]
Pinball.lnk=@%SystemRoot%\system32\shell32.dll,-22057
Freecell.lnk=@%SystemRoot%\system32\shell32.dll,-22030
Hearts.lnk=@%SystemRoot%\system32\mshearts.exe,-413
Minesweeper.lnk=@%SystemRoot%\system32\shell32.dll ,-22045
Solitär.lnk=@%SystemRoot%\system32\shell32.dll,-22060
Spider Solitär.lnk=@%SystemRoot%\system32\spider.exe,-56
Internet-Hearts.lnk=@C:\PROGRA~1\MSNGAM~1\Windows\hrtzres.d ll,-1212
Internet-Spades.lnk=@C:\PROGRA~1\MSNGAM~1\Windows\shvlres.d ll,-1212
Internet-Dame.lnk=@C:\PROGRA~1\MSNGAM~1\Windows\chkrres.dll ,-1212
Internet-Reversi.lnk=@C:\PROGRA~1\MSNGAM~1\Windows\rvseres. dll,-1212
Internet-Backgammon.lnk=@C:\PROGRA~1\MSNGAM~1\Windows\bckgr es.dll,-1212
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21773

5:
[LocalizedFileNames]
Komponentendienste.lnk=@C:\WINDOWS\system32\comres .dll,-661
Computerverwaltung.lnk=@%SystemRoot%\system32\shel l32.dll,-22023
Ereignisanzeige.lnk=@%SystemRoot%\system32\shell32 .dll,-22029
Systemmonitor.lnk=@%SystemRoot%\system32\shell32.d ll,-22055
Datenquellen (ODBC).lnk=@%SystemRoot%\system32\shell32.dll,-22025
Dienste.lnk=@%SystemRoot%\system32\shell32.dll,-22059
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21762


6:
[LocalizedFileNames]
Remotedesktopverbindung.lnk=@C:\WINDOWS\system32\d e-de\MSTSCE~1.MUI,-4000
WordPad.lnk=@%SystemRoot%\system32\shell32.dll,-22069
Rechner.lnk=@%SystemRoot%\system32\shell32.dll,-22019
Paint.lnk=@%SystemRoot%\system32\shell32.dll,-22054
Scanner and Camera Wizard.lnk=@C:\WINDOWS\system32\sti_ci.dll,-11

7:
[LocalizedFileNames]
Windows-Explorer.lnk=@%SystemRoot%\system32\shell32.dll,-22067
Eingabeaufforderung.lnk=@%SystemRoot%\system32\she ll32.dll,-22022
Editor.lnk=@%SystemRoot%\system32\shell32.dll,-22051
Synchronisieren.lnk=@%SystemRoot%\system32\shell32 .dll,-22062
Windows XP-Tour.lnk=@%SystemRoot%\system32\tourstart.exe,-1
Programmkompatibilitäts-Assistent.lnk=@%SystemRoot%\system32\compatUI.dll,-115
Adressbuch.lnk=@%SystemRoot%\system32\shell32.dll,-22017
[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21761


Meinst ich bin nur paranoid?
Ich weiß ich hab mich da ein wenig verrant drin aber ich merk doch wenn was net stimmt und plötzlich das system extrem anders bzw langsamer läuft, wenn dateien verschoben sind und wenn in den zuletzt geöffneten Programmen laufend was mit Remote drinnen steht.

Ich werd die Tage mal nen Hijack.log des vista Pc´s posten bze ne liste der ganzen .dll´s die offen sind.
Villt kann mir dann jemand sagen wie ich den Rootkit runter bekomm.

beavisbee

JA.
Wenn du das "%SystemRoot%" mit "irgendwas mit Root" meinst, dann ja.
%SystemRoot% ist nichts weiter als eine Umgebungsvariable, welche das Windows-Verzeichnis enthält.

Dann schau noch mal, was das "laufend was mit Remote" genau ist und poste das auch, damit wir hier nicht weiter auf Grundlage irgendwelcher Mutmaßungen und Rätsel antworten müssen.

Sicherlich können wir - solange wir nicht selbst vor deinem Rechner sitzen - nicht ausschließen, dass irgendwas nicht vielleicht doch im Argen ist, aber bis jetzt ist das, was du aufgezählt hast, wie ich in meinem ersten Post schon schrieb, ehr Paranoia - irgendwer (vielleicht auch du selbst) hat an Einstellungen herum gespielt, die jetzt mehr von deinem System sichtbar machen und du vermutest hinter allem irgendwas böses, obwohl es z.B. bei dem Recycled-Ordner mit den S-...-Verzeichnissen nur die normale Ordner-Struktur des Papierkorbes ist.

Desweiteren solltest du dir bitte angewöhnen, auf alle Fragen zu antworten, damit wir dir auch helfen können. Wenn man ständig alles nachhaken muss, hat irgendwann keiner mehr Lust, sich mit deinem Problem zu befassen.

Daher jetzt nochmal:

enkore

Alles was du bis jetzt gepostet hast ist definitiv ungefährlich und ganz normal.

Das sorgt ganz einfach dafür, dass du Dateien per eMail an Leute schicken kannst (Rechtsklick->Senden an...->Email-Empfänger, Zeile 2), Dateien auch über diesen Weg komprimieren kannst (Z. 4) und auf dem Desktop Verknüpfungen zu Dateien erstellen kannst (Z. 3)

Deaktivier einfach unter Extras->Ordneroptionen->Ansicht im Explorer die Anzeige von versteckten und Systemdateien und Ruhe ist.

__________________

"It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction."

+++ BREAKING +++ Troll ertrinkt im Planschbecken +++