Help - Search - Members
Full Version: Werd Rootkit nicht mehr los
Kaspersky Lab Forum > Deutschsprachiges Benutzer-Forum > Virenbezogene Themen
Hecktro
Ich weiß wircklich nicht mehr was ich machen soll, ich habe schon alle möglichen Virenscanner, Rootkit Scanner etc installiert, aber ich schaffe es einfach nicht das Rootkit zu löschen oder zumindest in die Quarantäne zu verschieben. Als ich versucht habe mit dem Programm "gmer" zu scannen bekam ich einen Bluescreen und das system wurde neugestartet. Ich habe gehört das es an dem Rootkit liegen soll. Sollte ich versuchen, die Datei manuell zu löschen bekomme ich den Fehler "Ein an das System angeschlossenes Gerät funktioniert nicht".


Hier einmal die log von Malwarebytes:


QUOTE
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4119

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

20.05.2010 13:56:35
mbam-log-2010-05-20 (13-56-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 113428
Laufzeit: 5 Minute(n), 42 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Windows\system32\Drivers\uefmfz.sys (Rootkit.Agent) -> Quarantined and deleted successfully.



Kaspersky kann ihn auch nicht löschen oder verschieben. Er wird angezeigt als "rootkit.win32.bubnix.o"
Außerdem habe ich herausgefunden, dass das rootkit auch in der Registry hängt unter:
HKEY_LOCAL_MACHINE/SYSTEM/Controlset001/services bis Controlset004/services, was ich zudem auch nicht löschen kann.


HijackThis Log:

QUOTE
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:10:02, on 20.05.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtblfs.exe
C:\Windows\regedit.exe
C:\Users\Andreas\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\ievkbd.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: CRSICBZKXS - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\CRSICBZKXS.exe (file missing)
O23 - Service: NSQWZDVMU - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\NSQWZDVMU.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TGB - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\TGB.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: VRGAVGLOSE - Unknown owner - C:\Users\Andreas\AppData\Local\Temp\VRGAVGLOSE.exe (file missing)

--
End of file - 4624 bytes




Ich hoffe mir kann jemand helfen diesen Rootkit loszuwerden. Ich habe meinen Computer erst vor kuzem neu installiert und möchte dies in so kurzer Zeit nicht nochmal tun müssen..

mfg und danke für eure mühe
Helios_07
Hi
Und Willkommen im Froum!
Erstelle bitte ein AVZ-log und lade es hier hoch! Wie das geht findest du hier: http://forum.kaspersky.com/index.php?showtopic=159460

MfG Helios
Hecktro
Bitteschön
SebastianLE
Hallo und willkommen im Forum,

1.) Führe nachfolgendes Script aus (Anleitung)
CODE
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
StopService('VRGAVGLOSE');
DeleteService('VRGAVGLOSE');
StopService('TGB');
DeleteService('TGB');
StopService('NSQWZDVMU');
DeleteService('NSQWZDVMU');
StopService('CRSICBZKXS');
DeleteService('CRSICBZKXS');
QuarantineFile('C:\Windows\System32\Drivers\uefmfz.sys','');
BC_Activate;
BC_ImportDeletedList;
ExecuteSysClean;
RebootWindows(true);
BC_DeleteFile('C:\Windows\System32\Drivers\uefmfz.sys');
end.


2.) Stelle bitte ein Combofix Log zur Verfügung
Hecktro
Also ich habe das skript ausgeführt, danach wurde direkt mein computer neugestartet. Ich habe dann geguckt ob der eintrag (rootkit) noch immer vorhanden ist, und es ist immer noch da -.-. Ist es trotzdem nötig nochmal ein combofix zu erstellen?

mfg
SebastianLE
Das mit dem Neustart des Computers ist Ok. Wo ist der Eintrag noch da?? Wird er bei einem Scan gefunden?
Ja bitte das Combofix Log erstellen!
Hecktro
lol..ich hab grad mit Malwarebytes nochmal gescannt und jetzt hat er komischerweise nichts mehr gefunden.
Obwohl die datei C:\Windows\system32\Drivers\uefmfz.sys noch vorhanden ist.

Aber jetzt wo ich schreib hat kaspersky wieder alarm gemacht...
Angier
Combofix laufen lassen. Dann sollte er weg sein.
markusg
cross posting
http://board.protecus.de/t39671-2.htm
und ich hab cf schon laufen lassen, das kanns auch nicht löschen.
avenger kann es, funktioniert aber nicht.
bitte entscheide dich für ein forum, das kann gefährlich für den pc sein
Hecktro
QUOTE(Angier @ 20.05.2010 20:07) *
Combofix laufen lassen. Dann sollte er weg sein.



Habs nochmal laufen lassen, die Datei ist noch immer vorhanden. Was soll ich tun?
Hecktro
Ich habs endlich geschafft. Ich habe das falsche programm geöffnet wo ich den Code eingeben soll, jetzt ist der virus nicht mehr vorhanden.
Vielen dank für eure hilfe und mühe die ihr für mich aufgebracht habt!
mfg
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2014 Invision Power Services, Inc.