GEMA 2.01 - abgesicherter Modus - komme nicht rein

**john.doe** · 15.04.2012, 22:17

Das Lösch-Log nach dem Fixen kann ich mir jetzt, glaube ich, sparen,

Nicht wirklich, denn das Skript war fuer OTL gedacht, nicht fuer OTLPE. Dafuer brauchst du ein anderes Skript.

"Rechner" und "glaube ich" haben genauso viel gemeinsam wie "Kuehe" und "Tiefseetauchen".

Hast Du DEN ultimativen Sicherheitstipp für die Zukunft?

Fuer Leute wie dich? Klar! Lies hier den dritten Kasten.

1.) Systemscan mit OTL

Erstelle bitte OTL-Logfiles nach dieser Anleitung. Die Analyse der Logfiles wird uns zeigen, welche Reste noch entfernt werden müssen und welche Lücken ggfs. noch vorhanden sind. Bitte in alle Kategorien "Benutze Safelist" anhaken und oben "Scanne alle Benutzer".

Füge die beiden Logfiles OTL.txt und Extras.txt als Anhang ein, indem Du unterhalb des Textfeldes auf Erweitert klickst und die Logdateien einzeln über Anhänge verwalten hochlädst.

2.) Bereinigung mit Malwarebytes' Anti-Malware (Komplett-Scan)

Mache bitte mit Malwarebytes' Anti-Malware einen Komplett-Scan nach dieser Anleitung und poste das Logfile hier in den Thread.

ciao, andreas

**Ricky** · 17.04.2012, 20:32

Da war ich wohl ein bisschen voreilig mit der Verabschiedung...

Angehängt die OTL-Logs und hier der Malwarecheck (14 Findings

)

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.04.04.08

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Ernie :: NAME-0T2AW2B6E8 [Administrator]

17.04.2012 19:43:41
mbam-log-2012-04-17 (21-16-47).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 284056
Laufzeit: 1 Stunde(n), 29 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 2
C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> 1724 -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> 2068 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 6
HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PC Health Status (Trojan.LockScreen) -> Daten: C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|PC Health Status (Trojan.LockScreen) -> Daten: C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

Infizierte Dateien: 3
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Ernie\Anwendungsdaten\ipjmqdog.exe (Trojan.LockScreen) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\xmldm\iexplore.exe_UAs004.dat (Stolen.Data) -> Keine Aktion durchgeführt.

(Ende)

Ciao,

Ricky

**john.doe** · 17.04.2012, 20:44

Da war ich wohl ein bisschen voreilig mit der Verabschiedung...

Wir werden gleich sehen...

14 Findings

Naja, der Rechner ist doch entsperrt, wird schon wieder aller in Ordnung sein.

Oder etwa doch nicht? Ich werde dir zeigen, worauf du achten solltest.

HKCR\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.

C:\WINDOWS\system32\xmldm\iexplore.exe_UAs004.dat (Stolen.Data) -> Keine Aktion durchgeführt.

Alle Kennwoerter aendern, aber nicht von der verseuchten Kiste. Falls Onlinebanking mit dem Rechner durchgefuehrt wurde, Bank informieren und zeitweise Zugang sperren lassen.

Aber ich bin ziemlich sicher, dass es noch dicker kommen wird.

Rootkit-Suche mit Gmer

Wichtig:

Alle Programme gegen Viren, Spyware, usw. müssen während des Scans deaktiviert sein.
Alle anderen Programme sollen geschlossen sein.
Während des Scans nichts am Rechner machen.
Nach jedem Scan der Rechner neu gestartet werden.
Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und speichere das Programm auf dem USB-Stick.

Kopiere die gmer.exe (bekommt bei jedem Download einen neuen Namen, also den Namen merken) nach C:\
Starte wieder die explorer.exe und dann Gmer per Doppelklick.

Gmer ist geeignet für => NT/W2K/XP/VISTA/7 (nur 32Bit).
Starte gmer.exe (hat einen willkürlichen Programm-Namen).
Vista-User mit Rechtsklick und als Administrator starten.
Gmer startet automatisch einen ersten Scan.

Sollte sich ein Fenster mit folgender Warnung öffnen:

Code:

WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system?

Unbedingt auf "No" klicken und nichts löschen!
Über den Save-Button das bisherige Resultat als gmer.txt auf dem Desktop speichern.
Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
Entferne den Haken bei:
- IAT/EAT
- Show all
- zusätzlichen Laufwerken, also nur die Bootpartition (meistens C:\) anhaken.
Starte den Scan durch Drücken des Buttons "Scan".
Wenn der Scan fertig ist klicke auf "Save" und speichere den Bericht gmer1.txt auf dem Desktop.
Mit "Ok" wird Gmer beendet.
Oder füge das Log aus der Zwischenablage direkt in Deine Antwort hier ein (mit STRG + V).

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile posten.

ciao, andreas

**Ricky** · 20.04.2012, 08:50

Hast Recht, da liegt wohl doch noch einiges im Argen...

Der Scan hat gut 2 1/2 Stunden gedauert; dann mit der Meldung geendet "Gmer FOUND system modification caused by ROOTKIT activity"...

Hier das Log:

GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-04-20 09:40:20
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST9160827AS rev.3.AAA
Running: b2fzgg6d.exe; Driver: C:\DOKUME~1\Ernie\LOKALE~1\Temp\kwwdruod.sys

---- System - GMER 1.0.15 ----

SSDT F7BF2C2C ZwClose
SSDT F7BF2BE6 ZwCreateKey
SSDT F7BF2C36 ZwCreateSection
SSDT F7BF2BDC ZwCreateThread
SSDT F7BF2BEB ZwDeleteKey
SSDT F7BF2BF5 ZwDeleteValueKey
SSDT F7BF2C27 ZwDuplicateObject
SSDT F7BF2BFA ZwLoadKey
SSDT F7BF2BC8 ZwOpenProcess
SSDT F7BF2BCD ZwOpenThread
SSDT F7BF2C4F ZwQueryValueKey
SSDT F7BF2C04 ZwReplaceKey
SSDT F7BF2C40 ZwRequestWaitReplyPort
SSDT F7BF2BFF ZwRestoreKey
SSDT F7BF2C3B ZwSetContextThread
SSDT F7BF2C45 ZwSetSecurityObject
SSDT F7BF2BF0 ZwSetValueKey
SSDT F7BF2C4A ZwSystemDebugControl
SSDT F7BF2BD7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011000 21 Bytes JMP AA011C0D \SystemRoot\system32\DRIVERS\mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
.text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011016 55 Bytes [02, AA, F6, C1, 01, 0F, 85, ...]
.text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA01104F 73 Bytes [68, F0, CB, 02, AA, 56, E8, ...]
.text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA011099 161 Bytes [90, 64, 3A, 5C, 6E, 74, 5C, ...]
.text mrxsmb.sys!?AddFilePathA@@IJG_NKN@X AA01113B 6 Bytes [00, EB, EA, 80, BF, CE]
.text ...
? C:\WINDOWS\system32\DRIVERS\mrxsmb.sys suspicious PE modification

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Modules - GMER 1.0.15 ----

Module (noname) (*** hidden *** ) AA080000-AA094000 (81920 bytes)

---- Processes - GMER 1.0.15 ----

Process C:\WINDOWS\System32\ping.exe (*** hidden *** ) 3956

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\$NtUninstallKB65302$\2286401856 0 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520 0 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\@ 2048 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\cfg.ini 279 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\Desktop.ini 4608 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\L 0 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\L\sunmmcfi 456320 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U 0 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000001.@ 2048 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000002.@ 224768 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\00000004.@ 1024 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000000.@ 66560 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000004.@ 1024 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\U\80000032.@ 115712 bytes
File C:\WINDOWS\$NtUninstallKB65302$\2456710520\version 866 bytes

---- EOF - GMER 1.0.15 ----

Grüße,

Ralph.

**john.doe** · 21.04.2012, 07:10

Moin Ralph,

da liegt wohl doch noch einiges im Argen...

Vermutlich weitaus mehr als du glaubst. Du hast jetzt zwei Moeglichkeiten (eigentlich nur eine!):

1.) Scan mit AntiZeroAcces.exe

Info: Das Tool kann ggfs. das Rootkit selbst entfernen, aber nicht die Modifikationen in Access Control Lists (ACLs) wiederherstellen! Hat also hier mehr informellen Charakter.

Lade AntiZeroAccess.exe herunter und speichere das Tool auf dem Desktop.

Nur für 32Bit-Systeme geeignet!
XP User: Doppelklick auf die antizeroaccess.exe, um das Programm zu starten.
Vista and Windows 7 User: Rechtsklick auf das Icon und als Administrator ausführen wählen.

Es öffnet sich eine Eingabeaufforderung.
Tippe Y und Enter um den Scan zu starten.

Warte, bis der Scan durchgelaufen ist.
Folge den Instruktionen.
Wenn "Press any key to exit" kommt, drücke irgendeine Taste.
Wenn ein Neustart verlangt wird, lasse diesen zu.

Poste das Logfile (AntiZeroAccess_Log.txt), welches das Tool erstellt, hier in den Thread.

2.) Leider habe ich schlechte Nachrichten für Dich. Neben dem Gema-Trojaner hast Du es mit einer ernstzunehmenden ZeroAccess-Infektion zu tun. Diese Infektion versteckt sich über einen Rootkit. Diese Infektionsart setzt Anti-Virus-Programme außer Kraft und erlaubt dem Angreifer die volle Kontrolle über Dein System zu übernehmen. Es werden Systemdateien so manipuliert, dass auch nach Entfernung des Rootkits die Infektion erneut aktiviert wird, sobald die entsprechende Systemdatei genutzt wird.

Bitte auf jeden Fall eine Neuinstallation Deines Systems durchführen und alle Deine Passwort-Daten schnellstmöglich von einem weiteren, virenfreien System aus ändern!

Eine ausführliche Anleitung zum Neuaufsetzen von Windows XP findest Du hier. Dort wird auch erklärt, wie Du am besten bzgl. der Sicherung Deiner Daten vorgehst.

ciao, andreas

**Ricky** · 24.04.2012, 20:24

Hallo Andreas,

so eine Sch...!
So gesehen muß ich dem GEMA-Trojaner eigentlich für den Totalabsturz dankbar sein; wer weiß, wie lange ich den sonstigen Mist schon mit mir 'rumgeschleppt habe...

Mittlerweile hat sich auch Avira mehrmals mit "Sirefef"-Findings gemeldet, das passt ja ziemlich gut zu der Beschreibung in dem Rootkit-Link, den Du mir geschickt hast. War zum Glück seit der Wiederherstellung mit der verseuchten Kiste nicht mehr online; werde mich dann wohl in der nächsten Woche an die Totaloperation machen...

Muß nur gucken, wo ich die Basissoftware (XP) herbekomme; der Rechner war damals vorinstalliert ohne Begleitdatenträger...

Mache vorher noch den Antizeroaccess und poste das Log (kann ein paar Tage dauern); wollte mich nur kurz zwischendurch gemeldet haben.

Vielen Dank soweit,

Ricky

**john.doe** · 24.04.2012, 20:43

Muß nur gucken, wo ich die Basissoftware (XP) herbekomme; der Rechner war damals vorinstalliert ohne Begleitdatenträger...

Solltest du jemand kennen, der die gleiche Version hat (Home, Professional, ...), dann reicht eigentlich dein Key.

Hier gibt es ein Tutorial.

ciao, andreas

RM · 18.05.2012, 13:46

Beachte bitte auch folgende Artikel für die Zukunft:
Malware entfernt? Was nun?
Wie mache ich mein Windows sicher?
Wie kann ich mein System in Zukunft von Malware frei halten?
Wie kann ich prüfen, ob meine Software aktuell ist?
Mozilla Plugins aktuell? Hier prüfen!
DNS manipuliert?