Rootkit eingefangen?

[Tameros]

Tach Jungs,
ich hab irgendwie das Gefühl dass mein Rechner infiziert ist. Seit geraumer Zeit läuft er langsamer. Ich habe aber nichts spezielles gemacht. Auch wenn ich Änderungen an Ordnern vornehme erscheinen die nicht sofort (Datei löschen, ausschneiden, einfügen..) Ist aber recht zufällig, erst wenn ich den Ordner neu öffne sehe ich die Änderungen.

Gerade der Log von RogueKiller macht mir sorgen, sieht danach aus als hätte ich n Rootkit..

Im Anhang habe ich einfach mal die ganzen Logs von ADWCleaner, FRST, HitmanPro, JRT, RKill, RougeKiller.
Wäre super wenn da mal jemand drüber schauen könnte und nachsehen könnte ob dort was zu finden ist.

Die 2 Rars nur weil man keine .logs hochladen kann..

Grüße

 

[fatal_error]

AW: Rootkit eingefangen? ://

schau dass du die desinfec't 2014 irgendwie bekommst, und mach damit mal einen test. mehr fällt mir jetzt auch nicht ein.

rootkit niemals vom eigenen system aus untersuchen!

 

[halbtuer]

Ich bin neugierig: was ist gemeint mit: Rootkit niemals vom eigenen System untersuchen?

Ist damit gemeint, daß ich eventuell ein Linux- Livesystem verwenden muß?
Oder eine Rettungs- CD eines Virenherstellers?

 

[computerbase107]

Das mit der Desinfect-CD ist eine sehr gute Idee.

Vorher würde ich noch einmal sehr genau hinschauen, ob nicht irgendeine Partition/Papierkorb zu voll ist. Dies habe ich gerade wieder im Bekanntenkreis erlebt und nach "Reinigung" lief wieder Alles performant.

Auch schlechte Smart-Werte der Festplatten könnten eine Rolle spielen.

 

[bengel40]

wenn nix hilft würd ich eine neu install vom Win in betracht ziehen

 

[Bummi]

Überprüfe mal das System mit

sfc /scannow

http://www.pcwelt.de/tipps/Windows-...nd-von-Windows-reparieren-lassen-7044495.html

 

[der Unzensierte]

Linux von CD starten und scannen. Aus Windows heraus wird das nix. Am Besten neu aufsetzen.

 

[dominic.e]

Wie schon erwähnt ist glaube die beste möglichkeit die Desinfec't von Heise

 

[emlyn d.]

Hallo,
ich sehe in den Logs weder ein Rootkit noch sonstige Malware.
Was hat Combofix ergeben?

 

[Tameros]

Hallo!
Ich habe nun mal die Desinfect besorgt (Dorfkiosk ist doch noch gut..). Habe einige Funde, habe mit allen AV's gescannt, wie soll ich nun weiter vorgehen? Kann das ja hier schlecht copy und pasten, was da so gefunden wurde, da ist die komplette Formatierung im Eimer.

@emlyn: Bezüglich Rootkit: RogueKiller, bei dem Log, gerade im Bereich Rootkit sind unzählige Einträge vorhanden, die verunsichern mich etwas.

Um genau zu sein meine ich diese:

¤¤¤ Antirootkit : 110 ¤¤¤
[EAT:Addr] (explorer.exe) NTDSAPI.dll - AttachProfiler : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef48529f0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CertCreateAuthenticodeLicense : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626730
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CertFreeAuthenticodeSignerInfo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626490
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CertFreeAuthenticodeTimestamperInfo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626450
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CertTimestampAuthenticodeLicense : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626550
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CertVerifyAuthenticodeLicense : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626630
[EAT:Addr] (explorer.exe) NTDSAPI.dll - ClearDownloadCache : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49eaee0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - ClrCreateManagedInstance : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef45a056c
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CoEEShutDownCOM : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4830740
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CoInitializeCor : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49f82d0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CoInitializeEE : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef48309d0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CoUninitializeCor : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef485d310
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CoUninitializeEE : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44308e0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CompareAssemblyIdentity : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49fdef0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CompareAssemblyIdentityWithConfig : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49fdf20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CopyPDBs : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef453b814
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CorDllMainForThunk : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482ee20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CorExitProcess : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4830a50
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CorLaunchApplication : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4854500
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CorMarkThreadInThreadPool : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef485d310
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateActContext : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626d50
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateApplicationContext : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef450b79c
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateAssemblyCache : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49ed6a0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateAssemblyConfigCookie : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49fe930
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateAssemblyEnum : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49ee170
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateAssemblyNameObject : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4437848
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateCMSFromXml : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626c90
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateHistoryReader : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef465e0b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - CreateInstallReferenceEnum : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49eea40
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DeleteShadowCache : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49ea890
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DestroyAssemblyConfigCookie : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49febd0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DllCanUnloadNowInternal : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef462ae20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DllGetActivationFactoryImpl : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef484f150
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DllGetClassObjectInternal : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef45a2bf0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DllRegisterServerInternal : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44d83b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - DllUnregisterServerInternal : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44d83b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - EEDllRegisterServer : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4830a60
[EAT:Addr] (explorer.exe) NTDSAPI.dll - EEDllUnregisterServer : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4830d20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetAddrOfContractShutoffFlag : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4840050
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetAppIdAuthority : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626df0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetAssemblyIdentityFromFile : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49ffed0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetAssemblyMDImport : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482dc20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetCLRFunction : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef45d2488
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetCLRIdentityManager : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a016a0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetCachePath : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef458add0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetClassActivatorForApplicationImpl : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef48468d0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromAssemblyFile : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c200
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromAssemblyFileW : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c400
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromBlob : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c550
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromFile : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c7b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromFileW : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c8c0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHashFromHandle : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1c9d0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetHistoryFileDirectory : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef465e0b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetIdentityAuthority : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef457afc0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetMetaDataInternalInterface : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef444e520
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetMetaDataInternalInterfaceFromPublic : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4572a40
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetMetaDataPublicInterfaceFromInternal : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef453b450
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetPermissionRequests : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4860310
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetPrivateContextsPerfCounters : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a2b2f0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetRuntimeStackWalkInfo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4851cc0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetUserStateManager : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626b20
[EAT:Addr] (explorer.exe) NTDSAPI.dll - GetUserStore : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626a70
[EAT:Addr] (explorer.exe) NTDSAPI.dll - IEE : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef45d2a5c
[EAT:Addr] (explorer.exe) NTDSAPI.dll - InitializeFusion : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef457c330
[EAT:Addr] (explorer.exe) NTDSAPI.dll - InstallCustomModule : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44d83b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - IsOS : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef457b310
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LegacyNGenCompile : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a24fb0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LegacyNGenCreateZapper : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a25200
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LegacyNGenFreeZapper : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a25480
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LegacyNGenTryEnumerateFusionCache : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a25510
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LoadStringRC : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482dd10
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LoadStringRCEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482ddd0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LogHelp_LogAssert : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44308e0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LogHelp_NoGuiOnAssert : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44d83b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LogHelp_TerminateOnAssert : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44308e0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - LookupHistoryAssembly : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef465e0b0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - MetaDataGetDispenser : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef45702a0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - NGenCreateNGenWorker : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef458e6d0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - NukeDownloadedCache : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49eaee0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - ParseManifest : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4626bd0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - PostErrorVA : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49d9850
[EAT:Addr] (explorer.exe) NTDSAPI.dll - PreBindAssembly : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44f74ec
[EAT:Addr] (explorer.exe) NTDSAPI.dll - PreBindAssemblyEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef44f750c
[EAT:Addr] (explorer.exe) NTDSAPI.dll - ReOpenMetaDataWithMemory : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482dea0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - ReOpenMetaDataWithMemoryEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef482df40
[EAT:Addr] (explorer.exe) NTDSAPI.dll - SetMSIHandleForLogging : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef49f3f70
[EAT:Addr] (explorer.exe) NTDSAPI.dll - SetRuntimeInfo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4582b28
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameCompareAssemblies : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1cb30
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameErrorInfo : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1cdf0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameFreeBuffer : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef444cc1c
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameGetBlob : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1ce70
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameGetBlobFromImage : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1cfc0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameGetPublicKey : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d120
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameGetPublicKeyEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d1f0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameHashSize : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d600
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameKeyDelete : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d770
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameKeyGen : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d840
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameKeyGenEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1d950
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameKeyInstall : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1dbe0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureGeneration : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1dd30
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureGenerationEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1de10
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureSize : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1e550
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureVerification : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef452f474
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureVerificationEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1e8a0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureVerificationEx2 : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1e960
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameSignatureVerificationFromImage : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1ea70
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameTokenFromAssembly : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1ebb0
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameTokenFromAssemblyEx : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4a1ec60
[EAT:Addr] (explorer.exe) NTDSAPI.dll - StrongNameTokenFromPublicKey : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef444cd30
[EAT:Addr] (explorer.exe) NTDSAPI.dll - TranslateSecurityAttributes : C:\Windows\Microsoft.NET\Framework64\v4.0.30319\clr.dll @ 0x7fef4861340

Combofix habe ich bis jetzt noch nicht drüber gejagt.

Scannow hat ein paar Fehler gefunden, das System läuft soweit wieder stabil. Jetzt ist nur noch die Frage offen was mit den Ergebnissen machen.

 

[brianmolko]

Bleibt nur eins, System neu aufsetzen.

 

[Tameros]

So, im Anhang nun Combofix. Hab jetzt auch nochmal MBAM drüber gejagt, hat aber nichts gefunden.

 

[Randy89]

Combofix habe ich bis jetzt noch nicht drüber gejagt.

Was ist dann das hier?

S3 catchme; \??\C:\ComboFix\catchme.sys [X]

Wenn du Combofix ausgeführt hast, dann sollte sich direkt auf C:\ ein Ordner namens "Qoobox" befinden, indem die relevanten Logs gespeichert sind.
edit: ok, du scheinst es schon selber gefunden zu haben.

Und zu den Funden: IAT-Hooks müssen nichts schlechtes sein und was die externen Laufwerke betrifft scheint das Programm einfach Probleme in der Erkennung dieser zu haben. Nächstes mal vorher einfach die externen Laufwerke abstöpseln.

Habe einige Funde, habe mit allen AV's gescannt, wie soll ich nun weiter vorgehen?

Schreib die Funde auf, mach ein Foto, klick auf VT (VirusTotal) falls möglich... Grade Clam AV zeigt sich sehr empfindlich gegenüber potenziell unerwünschten Programmen und meckert ziemlich viele Packer an, weswegen auch die Warnung vor Fehlalarmen auftaucht.

Wenn du wieder unter Windows bist, kannst du noch die folgenden Programme durchtesten lassen, nachdem du mit defogger die virtuelle Brennlaufwerke deaktivert hast (dieser Schritt ist wichtig, weil Bestandteile dieser von Anti-Rootkit-Tools fälschlicherweise als Bedrohung angekreidet werden):
- TDSSkiller: 2x bestätigen, alle Haken von unten nach oben ankreuzen lassen, neustart wenn aufgefordert und bei allen Funden skippen, bzw. Fenster schließen. Die Logdatei befindet sich direkt unter C:\
- dann aswmbr drüber laufen lassen. Bei Problemen das Antiviren-Programm vorrübergehend deaktiveren. Sollte der Scan mitten drinn mit "funktioniert nicht mehr" abbrechen, nochmal scannen und mitten im scannen auf "save log" gehen und dann schauen, ob es durchläuft. falls ja, starte das Programm erneut und wiederhole den Quickscan.
Das erfolgreich durchgelaufene Log dann speichern und anhängen.

- gmer:

(http://www.gmer.net/) (Anleitung: http://www.trojaner-board.de/74908-anleitung-gmer-rootkit-scanner.html) und dabei noch virtuelle Laufwerke von Brennprogrammen und Antiviren-Programme und sonstige Schutzsoftware deaktivieren und/oder beenden, Internetverbindung vorher trennen (am besten das LAN-Kabel abziehen, bzw. den W-Lan-Schalter am Notebook betätigen), nichts während des Scannens machen (also nichtmal Maus bewegen oder so) und nach dem Initial-Durchlauf einmal auf Quickscan gehen und weiterhin warten bis es fertig ist. Sobald das geschehen ist, die Log-Datei speichern und den Computer neustarten. Während des Hochfahrens kannst du dann das LAN-Kabel wieder reinstecken, bzw. den W-Lan-Schalter bestätigen und beim Hochfahren sollte das Antiviren-Programm und sonstiges an Schutzsoftware wieder aktiv sein.

vor dem Neustart kannst du mit Defogger wieder die virtuellen Laufwerke aktivieren lassen.

 

[Plaste]

jupp, mindestens einmal täglich neu aufsetzen, sicher ist sicher.

Netzwerkkabel trennen, wlan mit benzin übergiessen, alles abfackeln. sicher ist sicher.

um ganz sicher zu gehen : den computer nicht mehr einschalten, könnte ja sein das sich irgendwas über schwingungen auf den fernseher überträgt und der dann den staubsauger oder die munddusche manipuliert

oh mann

da ist nix, und die mysteriösen fundstellen von roguekiller würde ich ja gerne mal als text hervorgehoben sehen. was soll da sein? hab sie gerade nochmal angeschaut .
da ist nix zu erkennen, alles clean.

weißer als weiß

ich frag mich gerade was passiert wenn eines der tools einen false positive bringt.

 

[Randy89]

ich frag mich gerade was passiert wenn eines der tools einen false positive bringt.

Gar nix, solange man die Geistesgegenwart besitzt, die Meldungen abzuspeichern und keine voreilligen Löschungen/Fixes vornimmt, wie es auch schon in diesem Thread angeraten wird.

 

[Tameros]

Sooo!
Die Funde von Desinfect poste ich heute mittag oder abend. Hab bis jetzt mal die anderen Schritte verfolgt.

TDSSkiller hat keine Funde geliefert, hatte alle Optionen/Häkchen an, hab 2x scannen lassen, denke mal dass da also kein Log notwendig ist.
aswmbr habe ich auch 2x durchlaufen lassen, hänge mal einen Log an.
Gmer habe ich auch durchlaufen lassen, Kaspersky aus, Programme aus, Lan-Kabel raus, durchlaufen lassen mit dem Quickscan. Auch hier im Anhang das Logfile.

Zusätzlich habe ich noch Spybot S&D installiert, Log ebenso im Anhang.

Wollte zusätzlich noch Sophos Anti-Rootkit scannen lassen, das stürzte aber mitten im Scan mit der Meldung "vdkgpk.exe funktioniert nicht mehr" ab. Werde ich nochmal durchlaufen lassen.

Jetzt nochmal nen KIS-Scan, morgen dann wie gesagt die Funde von Desinfect. Muss mal schlafen.. gute Nacht.

 

[Tuxman]

Da ist nichts Verdächtiges.

 

[Plaste]

Tameros, ich habe das Gefühl du WILLST etwas finden

Wenn du den Verdacht hast, das sich dein System verselbständigt hat, solltest du dein Netzwerk überwachen. Und dafür braucht man Zeit und Geduld. Ein "Klick-Mich-fürs-Ergebnis"-Tool gibt es nicht.

Denk dran, die Hersteller der Antiviren-Soft"wehr" können auch Fehler machen und haben diese in der Vergangenheit schon demonstriert, in dem sie die Windows-Systemdateien in die Quarantäne verschoben haben.
Mein Tipp:

Sicher deine wichtigsten Daten auf eine externes Medium. REGELMÄßIG !!

Bau oder besorg dir ein Notfall-System, mit der sich der Rechner starten lässt.

Wann immer ein Tool einen Fund meldet, erstmal tief durchatmen. Teewasser aufsetzen. Nichts unternehmen sondern erst prüfen was das denn gewesen wäre. Ein oder mehrere "false positives" und überstürztes Handeln und du raufst dir nachher tagelang die Haare.

Wenn wirklich etwas am System "gedreht" wurde ist es ohnehin zu spät, das Kind ist schon in den Brunnen gefallen.
Locker bleiben und Schadensbegrenzung durchführen.

Have fun

 

[emlyn d.]

So, im Anhang nun Combofix.

Von Interesse wäre ein "altes" Log gewesen.

Originell ist dieser
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\persistentroutes]
"190.93.252.61,255.255.255.255,192.168.178.1,1"=""
Eintrag.

Den Windows Defender solltest Du deaktivieren, damit das Programm Kaspersky nicht in die Quere kommt.

 

[Tameros]

So, nun poste ich erst einmal die Ergebnisse von Desinfect. Ich gehe davon aus dass die Ergebnisse von ClamAV False-Positive sind, aber die von Avira und Kaspersky beunruhigen etwas. Hat eine Weile gebraucht das alles rauszuschreiben.

Spoiler

7. /media/4412759512758CA4/ProgramData/Kaspersky Lab/AVP13/QB/826f036f5e6ac727.klq ((Quarantine-6)) Avira: Trojan.Generic.11301062

19.media/Seagate 1/Spiele/Euro Truck Simulator 2 Multiplayer/launcher.exe Avira: Gen:Variant.Symmi.43445

Sorry dass hier die Formatierung auch etwas spinnt, im Dokument sieht es anders aus. :/

@emlyn: Windows Defender ist nun mal aus, ein altes Log habe ich leider nicht, sorry! Hm, was soll ich denn mit diesem Eintrag machen?

@Plaste: Nein, ich will nichts finden, die Ergebnisse von Desinfect beunruhigen mich nur etwas. So scharf bin ich auf einen Virus nun auch nicht. Notfall-System? Was eignet sich denn dazu? Was sind denn gute Tools um den Netzwerkverkehr zu überwachen?