Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojanische Pferd TR/Rootkit.Age.af.1

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 19.12.2005, 11:28   #1
Jean24de
 
Trojanische Pferd TR/Rootkit.Age.af.1 - Standard

Trojanische Pferd TR/Rootkit.Age.af.1



Hallo,

mein Frauchen hat sich oben genannten Trojaner eingefangen

Anbei die Logdatei:

Logfile of HijackThis v1.99.1
Scan saved at 12:18:20, on 19.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\ZoneAlarm\zlclient.exe
C:\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\AVPERSONAL\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\FlashGet\JetCar.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Zone Labs Client] C:\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NI.UWFX5U_0001_N56M1711] "C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6ZKPAV4J\WinFixer2005ScannerInstallDE[1].exe" -nag
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\JetCar.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game17.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game18.zylom.lycos.de/activex/zylomloader.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\AVPersonal\AVWUPSRV.EXE
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - SCM Microsystems - C:\WINDOWS\SCARDS32.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wie bekomme ich das teil wieder los, der Programmordner C:\PROGRAMME\WINFIXER 2005 ist bereits gelöscht worden. Kann der Trojaner auf andere XP Systeme übergreifen? Also ist 1 Rechner mit 2 Festplatten und jeweils eigenem aufgesetztem XP.

Danke für die Hilfe!

Mfg Jean24de

Alt 19.12.2005, 11:39   #2
Wildone
 
Trojanische Pferd TR/Rootkit.Age.af.1 - Standard

Trojanische Pferd TR/Rootkit.Age.af.1



Hallo,
wenn sich das oben genannte Rootkit bestätigt, sollte das System neu aufgesetzt werden. Scanne mal mit F-Secure Blacklight und poste das Log, wird im selben Pfad nach dem Scan erstellt (falls es zu lang ist bitte die Meldungen mit Cache löschen).


Grüße Wildone
__________________


Alt 19.12.2005, 14:24   #3
Jean24de
 
Trojanische Pferd TR/Rootkit.Age.af.1 - Standard

Trojanische Pferd TR/Rootkit.Age.af.1



Hallo WildOne,

danke für die schnelle Antwort, in der erstellten *.txt datei steht folgendes:
/19/05 15:03:13 [Info]: BlackLight Engine 1.0.30 initialized
12/19/05 15:03:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/19/05 15:03:13 [Note]: 7019 4
12/19/05 15:03:13 [Note]: 7005 0
12/19/05 15:03:16 [Note]: 7006 0
12/19/05 15:03:16 [Note]: 7011 1416
12/19/05 15:03:16 [Note]: FSRAW library version 1.7.1014

Einzig fragt er nur beim Start vom XP ob diese WinFixer2005ScannerInstallDE.exe ausgeführt werden soll. Allerdings wenn ich nach dieser Datei suche finde ich diese mit der XP Suche nicht. Der gelöschte Ordner C:\Programme\winFixer 2005 ist wieder da, der Inhalt sind Internetverknüpfungen die 1. heißt support Ziel URL ist http://de.winfixer.com/pages/contact-scanner/ die 2. heißt wf5x Ziel URL ist http://de.winfixer.com/ und eine Datei Updater.dat mit einer Größe von 174 Byte. Und es sind noch 2 Cookies vorhanden *Edit* Cookies gelöscht

Mfg Jean24de
__________________
Miniaturansicht angehängter Grafiken
Trojanische Pferd TR/Rootkit.Age.af.1-fbl.jpg  

Geändert von Jean24de (19.12.2005 um 14:31 Uhr)

Alt 19.12.2005, 14:39   #4
MightyMarc
 
Trojanische Pferd TR/Rootkit.Age.af.1 - Standard

Trojanische Pferd TR/Rootkit.Age.af.1



Bitte unter Auslassung von Punkt 1 abarbeiten:

http://www.trojaner-board.de/showpost.php?p=183556&postcount=10
__________________
When you contact tech support, a lot of people feel like they're either talking to an idiot or being treated like one.

Alt 22.12.2005, 11:08   #5
Jean24de
 
Trojanische Pferd TR/Rootkit.Age.af.1 - Standard

Trojanische Pferd TR/Rootkit.Age.af.1



Hallo,

Logdatei KrocCheck:

KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Driver/Module list by traversal of PsLoadedModuleList

804D7000 - \WINDOWS\system32\ntoskrnl.exe
806EC000 - \WINDOWS\system32\hal.dll
F7987000 - \WINDOWS\system32\KDCOM.DLL
F7897000 - \WINDOWS\system32\BOOTVID.dll
F75A7000 - ACPI.sys
F7989000 - \WINDOWS\system32\DRIVERS\WMILIB.SYS
F7596000 - pci.sys
F75F7000 - isapnp.sys
F7607000 - ohci1394.sys
F7617000 - \WINDOWS\system32\DRIVERS\1394BUS.SYS
F7A4F000 - pciide.sys
F7707000 - \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
F7627000 - MountMgr.sys
F74D7000 - ftdisk.sys
F770F000 - PartMgr.sys
F7637000 - VolSnap.sys
F74BF000 - atapi.sys
F74A7000 - si3112r.sys
F748F000 - \WINDOWS\system32\DRIVERS\SCSIPORT.SYS
F7647000 - disk.sys
F7657000 - \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
F7470000 - fltMgr.sys
F745E000 - sr.sys
F789B000 - SiWinAcc.sys
F7447000 - KSecDD.sys
F798B000 - TwkMs.sys
F7B52000 - Ntfs.sys
F741A000 - NDIS.sys
F789F000 - nv_agp.sys
F787C000 - Mup.sys
F7697000 - \SystemRoot\system32\DRIVERS\amdk7.sys
F773F000 - \SystemRoot\system32\DRIVERS\usbohci.sys
BAECC000 - \SystemRoot\system32\DRIVERS\USBPORT.SYS
F7747000 - \SystemRoot\system32\DRIVERS\usbehci.sys
F791B000 - \SystemRoot\system32\drivers\nvax.sys
F76A7000 - \SystemRoot\system32\DRIVERS\imapi.sys
BAEBB000 - \SystemRoot\System32\Drivers\Cdr4_XP.SYS
F76B7000 - \SystemRoot\system32\DRIVERS\cdrom.sys
F76C7000 - \SystemRoot\system32\DRIVERS\redbook.sys
BAE98000 - \SystemRoot\system32\DRIVERS\ks.sys
F7767000 - \SystemRoot\System32\Drivers\Cdralw2k.SYS
BAE86000 - \SystemRoot\system32\DRIVERS\el90Xbc5.SYS
F76D7000 - \SystemRoot\system32\DRIVERS\nic1394.sys
BAD46000 - \SystemRoot\system32\DRIVERS\ati2mtag.sys
BAD32000 - \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
F777F000 - \SystemRoot\system32\DRIVERS\fdc.sys
BAD21000 - \SystemRoot\system32\DRIVERS\serial.sys
F793F000 - \SystemRoot\system32\DRIVERS\serenum.sys
BAD0D000 - \SystemRoot\system32\DRIVERS\parport.sys
F76E7000 - \SystemRoot\system32\DRIVERS\i8042prt.sys
F778F000 - \SystemRoot\system32\DRIVERS\kbdclass.sys
F7A6D000 - \SystemRoot\system32\drivers\msmpu401.sys
BACC1000 - \SystemRoot\system32\drivers\portcls.sys
F76F7000 - \SystemRoot\system32\drivers\drmk.sys
F794B000 - \SystemRoot\system32\DRIVERS\gameenum.sys
F7A71000 - \SystemRoot\system32\DRIVERS\audstub.sys
F7586000 - \SystemRoot\system32\DRIVERS\rasl2tp.sys
BAFF8000 - \SystemRoot\system32\DRIVERS\ndistapi.sys
BACAA000 - \SystemRoot\system32\DRIVERS\ndiswan.sys
F7576000 - \SystemRoot\system32\DRIVERS\raspppoe.sys
F7566000 - \SystemRoot\system32\DRIVERS\raspptp.sys
F77B7000 - \SystemRoot\system32\DRIVERS\TDI.SYS
BABF9000 - \SystemRoot\system32\DRIVERS\psched.sys
F7556000 - \SystemRoot\system32\DRIVERS\msgpc.sys
F77C7000 - \SystemRoot\system32\DRIVERS\ptilink.sys
F77D7000 - \SystemRoot\system32\DRIVERS\raspti.sys
F7546000 - \SystemRoot\system32\DRIVERS\termdd.sys
F77DF000 - \SystemRoot\system32\DRIVERS\mouclass.sys
F7991000 - \SystemRoot\system32\DRIVERS\swenum.sys
BABC5000 - \SystemRoot\system32\DRIVERS\update.sys
BAFE4000 - \SystemRoot\system32\DRIVERS\mssmbios.sys
F7536000 - \SystemRoot\system32\DRIVERS\usbhub.sys
F7995000 - \SystemRoot\system32\DRIVERS\USBD.SYS
F7526000 - \SystemRoot\System32\Drivers\NDProxy.SYS
BAB58000 - \SystemRoot\system32\drivers\nvapu.sys
BAA8F000 - \SystemRoot\system32\drivers\nvmcp.sys
F7516000 - \SystemRoot\system32\drivers\nvarm.sys
F77F7000 - \SystemRoot\system32\DRIVERS\flpydisk.sys
F799B000 - \SystemRoot\System32\Drivers\Fs_Rec.SYS
F7AB8000 - \SystemRoot\System32\Drivers\Null.SYS
F799F000 - \SystemRoot\System32\Drivers\Beep.SYS
F780F000 - \SystemRoot\System32\drivers\vga.sys
F79A3000 - \SystemRoot\System32\Drivers\mnmdd.SYS
F79A7000 - \SystemRoot\System32\DRIVERS\RDPCDD.sys
F781F000 - \SystemRoot\System32\Drivers\Msfs.SYS
F774F000 - \SystemRoot\System32\Drivers\Npfs.SYS
F791F000 - \SystemRoot\system32\DRIVERS\rasacd.sys
B294C000 - \SystemRoot\system32\DRIVERS\ipsec.sys
B28F4000 - \SystemRoot\system32\DRIVERS\tcpip.sys
B28CC000 - \SystemRoot\system32\DRIVERS\netbt.sys
B28AB000 - \SystemRoot\system32\DRIVERS\ipnat.sys
B2868000 - \SystemRoot\System32\vsdatant.sys
BAD05000 - \SystemRoot\system32\DRIVERS\hidusb.sys
BAF90000 - \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
F7777000 - \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
BAF80000 - \SystemRoot\system32\DRIVERS\wanarp.sys
BAF70000 - \SystemRoot\system32\DRIVERS\arp1394.sys
BACF9000 - \SystemRoot\system32\DRIVERS\mouhid.sys
B277E000 - \SystemRoot\System32\drivers\afd.sys
BAF60000 - \SystemRoot\system32\DRIVERS\netbios.sys
B2753000 - \SystemRoot\system32\DRIVERS\rdbss.sys
B26E4000 - \SystemRoot\system32\DRIVERS\mrxsmb.sys
BAF50000 - \SystemRoot\System32\Drivers\Fips.SYS
F79AD000 - \SystemRoot\system32\DRIVERS\TWKPNP.SYS
BAF30000 - \SystemRoot\System32\Drivers\Cdfs.SYS
B26D3000 - \SystemRoot\System32\Drivers\Udfs.SYS
B26BB000 - \SystemRoot\System32\Drivers\dump_atapi.sys
F79B9000 - \SystemRoot\System32\Drivers\dump_WMILIB.SYS
BF800000 - \SystemRoot\System32\win32k.sys
BABB7000 - \SystemRoot\System32\drivers\Dxapi.sys
F77E7000 - \SystemRoot\System32\watchdog.sys
BF9C2000 - \SystemRoot\System32\drivers\dxg.sys
BABC2000 - \SystemRoot\System32\drivers\dxgthk.sys
BF9D4000 - \SystemRoot\System32\ati2dvag.dll
BFA11000 - \SystemRoot\System32\ati2cqag.dll
BFA44000 - \SystemRoot\System32\atikvmag.dll
BFA78000 - \SystemRoot\System32\ati3duag.dll
BFCB9000 - \SystemRoot\System32\ativvaxx.dll
B058F000 - \SystemRoot\system32\DRIVERS\ndisuio.sys
B032C000 - \SystemRoot\system32\drivers\wdmaud.sys
B042B000 - \SystemRoot\system32\drivers\sysaudio.sys
B0052000 - \SystemRoot\system32\DRIVERS\mrxdav.sys
F79C1000 - \SystemRoot\System32\Drivers\ParVdm.SYS
B0447000 - \SystemRoot\System32\Drivers\TwkPCSC.SYS
AFEAC000 - \SystemRoot\system32\DRIVERS\srv.sys
AFD6A000 - \SystemRoot\system32\drivers\kmixer.sys
AFC52000 - \??\C:\AVPERSONAL\AVGNTDW.SYS
AF9E1000 - \SystemRoot\System32\Drivers\HTTP.sys
F7A99000 - \SystemRoot\System32\DRIVERS\KProcCheck.sys

Total number of drivers = 129
KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks SDT for Hooked Native APIs

KeServiceDescriptorTable 80559480
KeServiceDescriptorTable.ServiceTable 804E26A8
KeServiceDescriptorTable.ServiceLimit 284

ZwClose 19 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC547FC]
ZwConnectPort 1F \SystemRoot\System32\vsdatant.sys [B287736D]
ZwCreateFile 25 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC54B6A]
ZwDeleteKey 3F \SystemRoot\System32\vsdatant.sys [B288AE90]
ZwDeleteValueKey 41 \SystemRoot\System32\vsdatant.sys [B288ADC0]
ZwLoadKey 62 \SystemRoot\System32\vsdatant.sys [B288AF10]
ZwOpenFile 74 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC5519E]
ZwOpenProcess 7A \SystemRoot\System32\vsdatant.sys [B288A7B0]
ZwReplaceKey C1 \SystemRoot\System32\vsdatant.sys [B288B080]
ZwRestoreKey CC \SystemRoot\System32\vsdatant.sys [B288B1C0]
ZwSetValueKey F7 \SystemRoot\System32\vsdatant.sys [B288ACE0]
ZwWriteFile 112 \??\C:\AVPERSONAL\AVGNTDW.SYS [AFC5490E]

Number of Service Table entries hooked = 12
KProcCheck Version 0.2-beta2 Proof-of-Concept by SIG^2 (www.security.org.sg)

Checks Shadow SDT for Hooked Native GDI APIs

KeServiceDescriptorTableShadow 80559440
KeServiceDescriptorTableShadow.SDE[1].ServiceTable BF998300
KeServiceDescriptorTableShadow.SDE[1].ServiceLimit 667

Entry 1CC Hooked - \systemroot\system32\vsdatant.sys [B2876E30]
Entry 1DB Hooked - \systemroot\system32\vsdatant.sys [B2876E80]
Entry 1F6 Hooked - \systemroot\system32\vsdatant.sys [B2877060]

Number of GDI Service Table entries hooked = 3

Logdatei RootkitReveal

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\ 04.08.2005 19:49 0 bytes Key name contains embedded nulls (*)
C:\System Volume Information\_restore{1ADD5C2E-167B-4E12-8957-4BDA03F9AE04}\RP31\A0025065.ini 03.09.2005 17:45 42 bytes Hidden from Windows API.


Mfg Jean24de


Antwort

Themen zu Trojanische Pferd TR/Rootkit.Age.af.1
adobe, antivir, avg, bho, content.ie5, dateien, einstellungen, explorer, festplatte, gelöscht, hijack, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, object, programme, software, system, temp, trojaner, trojaner eingefangen, windows, windows xp



Ähnliche Themen: Trojanische Pferd TR/Rootkit.Age.af.1


  1. Trojanische Pferd
    Log-Analyse und Auswertung - 20.06.2010 (3)
  2. was ist das Trojanische Pferd TR/Dldr.VB.dey?
    Mülltonne - 13.07.2008 (0)
  3. Das Trojanische Pferd TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 17.04.2008 (4)
  4. Trojanische Pferd TR/Rootkit.Gen
    Mülltonne - 16.04.2008 (0)
  5. Trojanische Pferd TR/Agent.anq.5 Trojanische Pferd TR/Crypt.FKM.Gen Trojanische Pfe
    Log-Analyse und Auswertung - 18.06.2007 (1)
  6. Trojanische Pferd TR/Agent.BI.96
    Plagegeister aller Art und deren Bekämpfung - 29.12.2005 (7)
  7. Hilfe!!! Trojanische Pferd TR/Rootkit.Age.af.1
    Plagegeister aller Art und deren Bekämpfung - 11.12.2005 (8)
  8. Ist das Trojanische Pferd TR/Dialer.KK
    Log-Analyse und Auswertung - 03.11.2005 (4)
  9. Was nun das Trojanische Pferd TR/Rootkit.L ist da
    Plagegeister aller Art und deren Bekämpfung - 16.07.2005 (2)
  10. Trojanische Pferd TR/Rootkit.L
    Plagegeister aller Art und deren Bekämpfung - 07.07.2005 (8)
  11. Trojanische Pferd TR/Cleaner.A
    Plagegeister aller Art und deren Bekämpfung - 09.05.2005 (3)
  12. Ist das Trojanische Pferd TR/StartPage.qr.DLL
    Plagegeister aller Art und deren Bekämpfung - 15.04.2005 (7)
  13. Trojanische Pferd TR/Pakes.2
    Plagegeister aller Art und deren Bekämpfung - 09.04.2005 (23)
  14. Trojanische Pferd TR/StartPage.lj
    Log-Analyse und Auswertung - 21.01.2005 (4)
  15. Trojanische Pferd TR/AClck
    Log-Analyse und Auswertung - 28.12.2004 (9)
  16. Trojanische Pferd TR/Dldr.Ist.CA !!! NEU help
    Plagegeister aller Art und deren Bekämpfung - 20.11.2004 (1)
  17. Trojanische Pferd TR/Dia ??
    Plagegeister aller Art und deren Bekämpfung - 12.01.2004 (2)

Zum Thema Trojanische Pferd TR/Rootkit.Age.af.1 - Hallo, mein Frauchen hat sich oben genannten Trojaner eingefangen Anbei die Logdatei: Logfile of HijackThis v1.99.1 Scan saved at 12:18:20, on 19.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet - Trojanische Pferd TR/Rootkit.Age.af.1...
Archiv
Du betrachtest: Trojanische Pferd TR/Rootkit.Age.af.1 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.