Registryveränderungen werden nicht dauerhaft beseitigt

**handyandy** · 2010-01-20, 01:23

Hallo zusammen

Zunächst mal mein system in kurzform ;-) :

PC Intel CPU
WinXP Home SP2
S&D 1.6.2.64

Nu das Problem :

Habe malware die unter anderem dazu führte daß S&D und Malwarebytes
nicht mahr starteten und die in die registry eingegriffen hat - showhidden und howsuperhidden optionen - ausserdem kann ich z.b. übers google listing nicht mehr auf die safer-networkingseite zugreifen : (404 not found).
S&D hab ich jetzt wieder zum laufen gekriegt, erkennt die registry-
veränderungen, beseitigt sie auch aber nach dem nächste systemstart ist alles wie vorher.
Malwarebytes läuft nicht.
Das problem mit den hidden/superhidden-optionen ist beseitigt.
Das ergebnis der überprüfung hier :

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

Nach dem fix :

--- Report generated: 2010-01-20 01:16 ---

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, fixed)
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

Aber nach dem nächsten systemstart : alles wieder von vorn
Tja ich wär happy wenn mir jemand weiterhelfen könnte !

greetz
handyandy

**Chrishnx246** · 2010-01-20, 07:26

deaktivier mal die Systemwiderherstellung (über Startbutton --> Programme --> Zubehör --> Systemprogramme--> Systemwiderherstellung) und probier das ganze dann nochmal.
Bei einer "Infektion" kann die ab und zu recht hinderlich sein.

gruß chris

**raman** · 2010-01-20, 08:03

Lasse die Systemwiederherstellung ersteinmal aktiviert, sofern die Malware die nicht schon deaktiviert haben sollte.

Wenn du Mbam schn auf deinem REchner installiert haben solltest, benenne bitte die Mbam.exe umzubenennen, dann starte neu und schau, ob du die umbenannte Datei starten kannst. Falls ja, aktualisiere Mbam und mache einen quickscan.

Poste bitte einen Gmer Report

Lade es von hier http://www.gmer.net/download.php starte die Datei, druecke im Reiter Rootkits auf scan. Nach ende des Scans bitte mit Hilfe von Copy den Report in den eigenen Thread einfuegen...

Um Gmer unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die heruntergeladenen Exedatei und "Als Administrator ausfuehren" waehlen.

**handyandy** · 2010-01-21, 01:03

Hallo Zusammen

Vielen dank für die schnelle reaktion !

1.)
Systemwiederherstellung war schon deaktiviert ( von malware )
ich hab's so gelassen

2.
Malwarebytes hatte ich gestern morgen noch deinstalliert also :
- sicherheitshalber S&D laufen lassen und registryänderungen beseitigt
- MWB installiert
- läuft nicht
- mbam.exe umbenannt
- läuft !

Quickscan ergebnisse :

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3601
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

20.01.2010 10:34:09
MWB LOG 100120 1031.txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118279
Laufzeit: 4 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xjikgztd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\1234\ppbxg.exe \s) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\xjikgztd.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.

Getan hab ich noch nichts !

3.)
Der link zu gmer wurde zu google umgeleitet.
Eingabe der URL in adressleiste : dito.
Geklappt hats über die CHIP online seite.

Ergebnis :

Code:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2010-01-21 00:48:54
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            893D4530                                                                                                             ZwConnectPort

---- Kernel code sections - GMER 1.0.15 ----

.text           C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             section is writeable [0xBA979000, 0x2F40, 0xEC000040]
.reloc          C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             section is executable [0xBA97FE60, 0x1E60, 0xEE000040]
?               C:\WINDOWS\system32\drivers\xjikgztd.sys                                                                             Zugriff verweigert
.text           C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             section is writeable [0xBAAA9000, 0x2600, 0xEC000040]
.reloc          C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             section is executable [0xBAAB3200, 0x1D00, 0xEE000040]
?               C:\WINDOWS\system32\DRIVERS\ndisvvan.sys                                                                             Zugriff verweigert

---- User code sections - GMER 1.0.15 ----

?               C:\WINDOWS\system32\svchost.exe[1056]                                                                                image checksum mismatch; time/date stamp mismatch; unknown module: dbghelp.dll

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegQueryValueExW]              244C8D51
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl]     1BC82B04
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW]              23D0F7C0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup]    25C48BC8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner]    FFFFF000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor]  0A72C83B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!GetTokenInformation]           9459C18B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenProcessToken]              0489008B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!OpenThreadToken]               002DC324
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!SetServiceStatus]              85000010
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW]   0FE9EB00
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegCloseKey]                   082444B7
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW]                 74FF5056
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW]   F6330C24
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!WideCharToMultiByte]           09BBE846
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrlenW]                      C68B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalFree]                     8B55C35E
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcess]             18EC83EC
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThread]              DB335753
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcAddress]                91120C68
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryExW]                F05D8909
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LCMapStringW]                  45890991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!FreeLibrary]                   7415FFEC
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcpyW]                      8B099110
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW]     89FB3BF8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpiW]                     0775F47D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!ExitProcess]                   EAE9C033
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCommandLineW]               56000000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InitializeCriticalSection]     1070358B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetProcessHeap]                EC680991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetErrorMode]                  57099111
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter]   E068D6FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject]   57099111
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange]    FFF84589
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LoadLibraryA]                  11CC68D6
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter]       75FF0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetTickCount]                  FFF88BF4
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentThreadId]            F85D39D6
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetCurrentProcessId]           00AF840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime]       FB3B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!TerminateProcess]              00A7840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter]      C33B0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!LocalAlloc]                    009F840F
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!lstrcmpW]                      4D8D0000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook]          75FF51F0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtQuerySecurityObject]            91106C15
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlFreeHeap]                      89C33B09
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtOpenKey]                        840FEC45
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscat]                           0000008E
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcscpy]                           000288BE
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlAllocateHeap]                  50535600
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCompareUnicodeString]          106815FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitUnicodeString]             F88B0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlInitializeSid]                 7A74FB3B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlLengthRequiredSid]             50FC458D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthoritySid]               FC758957
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!NtClose]                          83F855FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid]          10756FF8
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor]     57FC75FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlQueryInformationAcl]           EC75FF53
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlGetAce]                        106415FF
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlImageNtHeader]                 F88B0991
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!wcslen]                           3B46F633
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter]      8D3874FB
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [ntdll.dll!RtlCopySid]                       5750FC45
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx]         8B2C75C0
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen]         9C888BC7
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize]       3B000001
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf]           0874F04D
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerListen]                 C33B008B
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW]          0CEBEF75
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf]             01A0B883
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status]             74060000
IAT             C:\WINDOWS\system32\svchost.exe[1056] @ C:\WINDOWS\system32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening]      E8758903

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               xjikgztd.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                               SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)

Device          \FileSystem\Mup \Dfs                                                                                                 xjikgztd.sys
Device          \FileSystem\NetBIOS \Device\Netbios                                                                                  xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                             SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \FileSystem\RAW \Device\RawTape                                                                                      xjikgztd.sys
Device          \FileSystem\MRxDAV \Device\WebDavRedirector                                                                          xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \FileSystem\Rdbss \Device\FsWrap                                                                                     xjikgztd.sys
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17                                                                         sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0                                                                                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1                                                                                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f                                                                          sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a8                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\InCDfs \Device\InCDfsComm                                                                                xjikgztd.sys
Device          \FileSystem\Srv \Device\LanmanServer                                                                                 xjikgztd.sys

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                            SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                          SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\USBSTOR \Device\000000aa                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\RAW \Device\RawDisk                                                                                      xjikgztd.sys
Device          \Driver\USBSTOR \Device\000000ab                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ac                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                    xjikgztd.sys
Device          \Driver\USBSTOR \Device\000000ad                                                                                     sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                          xjikgztd.sys
Device          \FileSystem\Npfs \Device\NamedPipe                                                                                   xjikgztd.sys
Device          \FileSystem\Msfs \Device\Mailslot                                                                                    xjikgztd.sys
Device          \FileSystem\RAW \Device\RawCdRom                                                                                     xjikgztd.sys
Device          \FileSystem\Mup \Device\WinDfs\Root                                                                                  xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                                   xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                                    xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                        xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                                     xjikgztd.sys
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                                    xjikgztd.sys
Device          \FileSystem\InCDfs \GLOBAL??\BsUDF                                                                                   xjikgztd.sys
Device          \FileSystem\Cdfs \Cdfs                                                                                               xjikgztd.sys

---- Processes - GMER 1.0.15 ----

Process         C:\WINDOWS\system32\wmihtsp.exe (*** hidden *** )                                                                    684                                                                               

---- Files - GMER 1.0.15 ----

File            C:\WINDOWS\system32\config\software.LOG                                                                              (size mismatch) 1024/12288 bytes

---- EOF - GMER 1.0.15 ----

Rot markiert wurde folgender eintrag :
Process C:\WINDOWS\system32\wmihtsp.exe (*** hidden *** )

So, ich hoffe das ist für euch (und mich) hilfreich.

Vielen dank für eure mühe

handandy

**raman** · 2010-01-21, 08:04

Mache erneut ein update von Mbam und lasse dann alle Funde bereinigen. Poste den erstellten Report und mache einen Neustart, versuche dir eine neue Gmer Datei ueber meinen Link herunterzuladen und mache damit auch einen Report

**handyandy** · 2010-01-21, 21:23

Hallo Freunde der Virusjagd

Ich scheine wohl ein ziemlich hartnäckiges exemplar erwischt zu haben.

@Ralf

Also wie gewünscht :

1.) mwb vollscan nach update :

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 11:47:30
mbam-log-2010-01-21 (11-47-03).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 256013
Laufzeit: 1 hour(s), 13 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\Dokumente und Einstellungen\1234\ppbxg.exe \s) Good: (Userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.

15 probleme -> beseitigt.

2.) neuer mwb quickscan :

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:03:27
mbam-log-2010-01-21 (12-03-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118249
Laufzeit: 5 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xjikgztd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\passthru (Rootkit.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\xjikgztd.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Drivers\ndisvvan.sys (Rootkit.Agent) -> No action taken.
C:\WINDOWS\system32\secupdat.dat (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\1234\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\All Users\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\ALT\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Default User\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\Gast\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\secupdat.dat (Worm.Autorun) -> No action taken.
C:\Dokumente und Einstellungen\NetworkService\secupdat.dat (Worm.Autorun) -> No action taken.

13 probleme -> beseitigt

3.) neuer mwb quickscan :

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:21:56
mbam-log-2010-01-21 (12-21-45).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118218
Laufzeit: 4 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

1 problem -> beseitigt

4.) neuer mwb quickscan :

Code:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3607
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

21.01.2010 12:26:09
mbam-log-2010-01-21 (12-26-07).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 118148
Laufzeit: 2 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\disableconfig (Windows.Tool.Disabled) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

1 problem -> beseitigt

5.) neuer S&D scan :

Code:

--- Search result list ---
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.disableSystemRestore: [SBI $1645D19C] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

4 probleme -> beseitigt

6.) neuer mwb quickscan :
0 probleme ( kein bericht )

7.) neuer mwb vollscan :
0 probleme ( kein bericht )

Das problem ist aber leider noch vorhanden.
Über deinen link konnte ich nachwie vor nicht auf GMER zugreifen
Habe mir die version 1.0.15.15281 von CHIP besorgt

8.) gmer scan :

Code:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-21 20:56:08
Windows 5.1.2600 Service Pack 2
Running: kdqmv7y2.exe; Driver: C:\DOKUME~1\1234\LOKALE~1\Temp\kwliraoc.sys


---- System - GMER 1.0.15 ----

SSDT            89403260                                      ZwConnectPort

---- Kernel code sections - GMER 1.0.15 ----

?               uehg.sys                                      Das System kann die angegebene Datei nicht finden. !
?               C:\DOKUME~1\1234\LOKALE~1\Temp\aunasnkj.sys   Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                        SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Ip                      SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\Tcp                     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17  sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort0            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdePort1            sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a7              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000a9              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

AttachedDevice  \Driver\Tcpip \Device\Udp                     SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice  \Driver\Tcpip \Device\RawIp                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

Device          \Driver\USBSTOR \Device\000000aa              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ab              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\USBSTOR \Device\000000ac              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)

---- EOF - GMER 1.0.15 ----

Tja was tun sprach zeus, noch 'n guten tip ?
Jedenfalls schon mal vielen dank für deine/eure geduld

Gruss
handyandy

**raman** · 2010-01-21, 21:32

Erstelle bitte der Uebersichthalber ein dds Report

http://download.bleepingcomputer.com/sUBs/dds.scr
auf den desktop herunterladen und ausführen.

es öffnen sich zwei logs, dds.txt und attach.txt, das kann etwas Zeit in anspruch nehmen

im dds.txt-fenster drückst du strg+a, strg+c und fügst den bericht mittels strg+v in diesen thread ein.

**handyandy** · 2010-01-21, 21:39

Hallo Ralf

Auch dieser link und die direkte eingabe adressleiste nicht möglich.
Lande immer bei ( angeblich ) google not found
Ich versuchs mit umwegen.

Gruss
handandy

**raman** · 2010-01-21, 22:02

Ich warte nochmal auf deine Rueckmeldung, aber du koenntest schon mal anfangen deine wichtigsten Daten zu sichern, da ich ansonsten schwereres Geschuetz auffahren moechte, sollte das nicht funktionieren.

BTW: Hast du nicht die Moeglichkeit dir die Programme von einem anderen Rechner aus zu holen?

**handyandy** · 2010-01-22, 11:00

Hallo Ralf

Ich hab mir jetzt einen zusätzliche PC besorgt, kriege aber mit deinem link
z. zt. immer einen timeout fehler.
Evtl. pagedown oder sie geht in die knie wegen der grossen nachfrage ;-)
Ich versuchs später nochmal.

Meine daten werden regelmäßig gesichert.
JETZT wollte ich daß eigentlich nicht machen aus angst eine infizierte datei auf meine ( hoffentlich noch saubere weil ausser bei backup
ausgestöpselte ) externe HD zu kriegen - letzter backup war vor beginn des ärgers.
Kann natütlich auch eine DVD brennen aber da wären die dateien doch auch
- evtl. - infiziert ?

Noch eine information :
War letztes WE ( mit meinem hauserechner ) mit dem IE 6 unterwegs
um die ansicht einer website im IE 6 zu testen.
Gestern war ich mit dem bürorechner auch online - auch IE 6 - und habe prompt dort den gleichen ärger.
USB sticks zur datenübertragung zwischen hause und büro habe ich nach auftreten der symptome nicht mehr benutzt, aber eine website - hochgeladen vom hauserechner vor ca. 5 wochen und seitdem nicht mehr auf den server zugegriffen - auf den bürorechner heruntergeladen.
Laut auskunft der host-hotline sind die dateien auf dem server virenfrei.
Also die berühmte IE sicherheitslücke ?
Na ja, wie immer die dinger auch auf die PC's gelangt sind ich muss sie wieder wegkriegen.
Ich bleibe dran mit bleeping und hoffe weiter auf unterstützung

Gruss
Andy

Thread: Registryveränderungen werden nicht dauerhaft beseitigt

Thread Tools

Display

Registryveränderungen werden nicht dauerhaft beseitigt

Hier die gewünschten Scans :

Hartnäckiger Virus

Auch dieser Link blockiert

Re : Anderer PC / Datensicherung

Posting Permissions