Hacktool.Rootkit

P@t · 01.07.2006, 17:58

Sorry!
Bin ziemlich von der Rolle.......

Also bei Norton steht noch:

uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:47:30, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ****//g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.100
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nod32CC] "C:\WINDOWS\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {799A36F8-648E-4F5E-9122-6B141E0C6E00} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe
O9 - Extra button: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra 'Tools' menuitem: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - ***://***.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=ht**://w*w.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht**://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

So ich hoffe ich habe das nun richtig gemacht! Ist für mich schließlich das erste Mal! Falls nicht.........bitte um Aufklärung! Dankeschön!
LG P@t

Yopie · 01.07.2006, 18:11

Zitat:

Zitat von P@t

[B]uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"

Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß

Yopie

P@t · 01.07.2006, 18:54

Zitat:

Zitat von Yopie

Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß

Yopie

Also für den eScan bin ich anscheinend nicht geboren! Habe es die ganze Zeit probiert........

P@t · 01.07.2006, 19:07

Doch jetzt klappt es........
Melde mich gleich wieder

LG P@t

Gleich *haha*
er scannt jetzt schon eine Stunde........ aber das was ich da sehe oh oh

P@t · 01.07.2006, 22:01

Puh..........jetzt bin ich aber echt überfordert.......also das habe ich nun herausgefunden:

Zitat:

Sat Jul 01 22:04:33 2006 => Gescannte Dateien: 78801
Sat Jul 01 22:04:33 2006 => Gefundene Viren: 122
Sat Jul 01 22:04:33 2006 => Anzahl der desinfizierten Dateien: 0
Sat Jul 01 22:04:33 2006 => Umbenannte Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl der gelöschten Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl Fehler: 70
Sat Jul 01 22:04:33 2006 => Dauer des Scans bisher: 01:59:46
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Datum: 6/28/2006
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Zähler: 203358

Zitat:

Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:10 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Jul 01 20:06:10 2006 => System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\zlbw.dll
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (zlbw.dll)! Action taken: Keine Aktion vorgenommen.
6:14 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\microsoft\installer\{0d5447ee-fec6-49b2-9367-ed5cfb87d436}\uninstal.exe
Sat Jul 01 20:06:14 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\ebay.url
Sat Jul 01 20:06:17 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Sat Jul 01 20:06:41 2006 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Jul 01 20:33:02 2006 => Scanne Ordner: C:\Programme\ESET\infected\*.*
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQF
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\BRYSXMAA.NQF infiziert von "Trojan-Downloader.Win32.Small.akz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\FERPQWCA.NQF infiziert von "Trojan.Win32.Dialer.ht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQI

Was hat das zu bedeuten........

Also ich habe nun den Durchblick verloren

HILFE!!!!!!!!!!

Vielleicht sollte jemand sich diese MWAV.LOG mal näher ansehen..........denn mit diesem Bat-dings bin ich nicht klargekommen!

P@t · 02.07.2006, 14:12

Hallo?
Habe ich was falsch gemacht?

cronos · 02.07.2006, 15:02

Poste das Ergebnis mal mittels der in der Anleitung beschriebenen Find.bat-Datei.

Hacktool.Rootkit

Plagegeister aller Art und deren Bekämpfung: Hacktool.Rootkit