Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Hijack-Logfile nach Rootkit Attacke.

Hijack-Logfile nach Rootkit Attacke.


Log-Analyse und Auswertung: Hijack-Logfile nach Rootkit Attacke.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 05.01.2007, 11:56   #3
Ich-mag-keine-Viren
 
Hijack-Logfile nach Rootkit Attacke. - Standard

Hijack-Logfile nach Rootkit Attacke.


Hallo Karl,

danke für Deine Analyse.

Die japanische IP lässt sich sicherlich mit TOR erklären, das habe ich nämlich installiert, wenngleich ich es selten benutze. Ich habe diese IP mal eingegeben bei Google und es kommt eine offensichtlich TOR-bezogene Seite (wenngleich man die nicht anwählen kann), also wird diese wohl dem Proxy zuzuordnen sein. Ich denke auch, dass mehr Ergebnisse kämen bei Google, u.a. von anderen Boards wenn diese IP schmutzig wäre.

So, nun liefere ich noch Logs von meinen Rootkit-Jägern nach, hier erst mal vom TrendMicro Rootkit Buster:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1049
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Root : 0
SubKey : jdgg40
ValueName : ujdew
Data : 20 02 00 00 E7 56 C0 78 ...
ValueType : 3
AccessType: 0
FullLength: 0x4b
DataSize : 0x220
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Root : 0
SubKey : jdgg40
ValueName : ljej40
Data : 69 CB FC E5 34 20 22 72 ...
ValueType : 3
AccessType: 0
FullLength: 0x4b
DataSize : 0x1ac
2 hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

Googeln hat ergeben, dass diese Einträge vom Alcohol120 stammen.

Die Datei vom Eintrag 023 ist in der Tat auch nach einem Reboot nicht mehr auf meinem System. Auch lässt sich nix über sie im Netz finden, weswegen ich einfach mal annehme, dass RRevealer sie nicht ganz sauber entfernt hat.

IceSword meldet im Wesentlichen 2 ihm verdächtig vorkommende Aktivitäten. Nämlich von a347bus.sys und vsdatant.sys. Erstgenanntes ist wiederum mit Alcohol120 verbunden, zweit genannte sys ist offensichtlich ein Bestandteil vom Zone Alarm, den ich i.d.T. laufen habe.

Der Rootkit Unhooker spuckt folgendes Log aus:

>SSDT State
!!!!!!!!!!!Hooked service: NtClose
Actual Address 0xF7492028
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtConnectPort
Actual Address 0xBABE68D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateFile
Actual Address 0xBABE32D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateKey
Actual Address 0xBABEE0D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreatePagingFile
Actual Address 0xF7485B00
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtCreatePort
Actual Address 0xBABE6C60
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateProcess
Actual Address 0xBABECEE0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateProcessEx
Actual Address 0xBABED110
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateSection
Actual Address 0xBABF06D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateWaitablePort
Actual Address 0xBABE6D40
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteFile
Actual Address 0xBABE3950
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteKey
Actual Address 0xBABEF0B0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteValueKey
Actual Address 0xBABEED00
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDuplicateObject
Actual Address 0xBABECC50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtEnumerateKey
Actual Address 0xF74865DC
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtEnumerateValueKey
Actual Address 0xF7492120
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtLoadKey
Actual Address 0xBABEF3E0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenFile
Actual Address 0xBABE37A0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenKey
Actual Address 0xF7491FA4
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtOpenProcess
Actual Address 0xBABEC9A0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenThread
Actual Address 0xBABEC7C0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtQueryKey
Actual Address 0xF74865FC
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtQueryValueKey
Actual Address 0xF7492076
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtReplaceKey
Actual Address 0xBABEF6D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtRequestWaitReplyPort
Actual Address 0xBABE6570
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtRestoreKey
Actual Address 0xBABEF980
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSecureConnectPort
Actual Address 0xBABE6A80
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSetInformationFile
Actual Address 0xBABE3AC0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSetSystemPowerState
Actual Address 0xF7491550
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtSetValueKey
Actual Address 0xBABEE897
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtTerminateProcess
Actual Address 0xBABED340
Hooked by: C:\WINDOWS\System32\vsdatant.sys

>Processes
>Drivers
>Files
Suspect File: D:\Cache\dtatempfile1167992182528.part2 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992184108.part1 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992187793.part0 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992188587.part3 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992189880.part4 Status: Hidden
Suspect File: F:\HUEPP.GIF Status: Hidden
>Hooks
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> GetSidSubAuthorityCount, Type: Inline at address 0x00417650 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCloseKey, Type: Inline at address 0x00417540 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyA, Type: Inline at address 0x004175A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyExA, Type: Inline at address 0x004175E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyExW, Type: Inline at address 0x00417600 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyW, Type: Inline at address 0x004175C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteKeyA, Type: Inline at address 0x00417620 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteKeyW, Type: Inline at address 0x00417650 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteValueA, Type: Inline at address 0x00417680 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteValueW, Type: Inline at address 0x004176B0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumKeyExA, Type: Inline at address 0x004176E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumKeyExW, Type: Inline at address 0x00417710 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumValueA, Type: Inline at address 0x00417740 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumValueW, Type: Inline at address 0x00417770 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegFlushKey, Type: Inline at address 0x00417570 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyA, Type: Inline at address 0x004177A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyExA, Type: Inline at address 0x004177E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyExW, Type: Inline at address 0x00417810 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyW, Type: Inline at address 0x004177C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryInfoKeyA, Type: Inline at address 0x00417840 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryInfoKeyW, Type: Inline at address 0x00417870 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueA, Type: Inline at address 0x004178A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueExA, Type: Inline at address 0x00417900 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueExW, Type: Inline at address 0x00417930 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueW, Type: Inline at address 0x004178D0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueA, Type: Inline at address 0x00417960 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueExA, Type: Inline at address 0x004179C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueExW, Type: Inline at address 0x004179F0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueW, Type: Inline at address 0x00417990 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> CreateFileA, Type: Inline at address 0x00459870 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> CreateFileW, Type: Inline at address 0x00459940 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> IsDebuggerPresent, Type: Inline at address 0x005CA6D0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> ChangeDisplaySettingsExA, Type: Inline at address 0x00459810 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> ChangeDisplaySettingsExW, Type: Inline at address 0x00459840 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> MapVirtualKeyExW, Type: Inline at address 0x00459840 hook handler located in [mplayerc.exe]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

Das wärs soweit. Hoffe das sagt genug aus.

Gruß und danke,
Ich-mag-keine-Viren







Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

zu den markierten Einträgen:

Die IP im ersten O17 liegt in Japan, sehr suspekt, sollte gefixt werden. Die beiden IPs des zweiten O17 gehören zur Telekom und sind ok.

Der O18 gewhört zum MSN Messenger und ist ok. "(file missing)" behauptet Hijackthis öfter obwohl es nicht stimmt, Namen in "" sind eine Möglichkeit.

Der O23 sieht nach Rootkitrevealer aus. Der erzeugt einen solchen Prozess mit einem zufällig gewählten Namen, damit er nicht ganz so leicht von den Rootkits erkannt werden kann. Normalerweise räumt er ihn wieder auf, manchmal fällt das aber aus, z.B. wenn er nicht sauber beendet wurde.


In dem "zu sein scheinen" steckt die Möglichkeit eines Irrtums, es wäre gut, wenn Du diese Ergebnisse noch postest. Versteckte Prozesse sind interessant (und verdächtig).

Gruß, Karl
__________________
 

Themen zu Hijack-Logfile nach Rootkit Attacke.
ad-aware, adobe, antivirus, avast!, bho, drivers, ellung, exe, firefox, free download, helfen, helper, hijack, install.exe, internet, internet explorer, ip-adresse, log-files, logfile, monitor, problem, prozesse, präzise, registry, rootkit, rundll, software, spam, starten, trojaner, urlsearchhook, usb, viren, windows, windows xp, ändern


« Hjt log | Bitte mal mein HiJackThisLogfile überprüfen »


Ähnliche Themen: Hijack-Logfile nach Rootkit Attacke.


  1. Win7: Chrome Browser nach Malware Attacke sehr langsam.
    Plagegeister aller Art und deren Bekämpfung - 02.07.2015 (6)
  2. Logfile von Hijack This nach Iminent infektion
    Log-Analyse und Auswertung - 17.04.2013 (8)
  3. Nach "Bundespolizei" Trojaner Attacke - Dateien können nich entschlüsselt werden
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (1)
  4. Production Security Services- Problem nach Security Shield Attacke
    Plagegeister aller Art und deren Bekämpfung - 18.03.2012 (14)
  5. Logfile dds nach schädlichen Hijack-this Einstufungen
    Log-Analyse und Auswertung - 24.02.2012 (5)
  6. Wie soll ich nach einer Trojaner"attacke" (und möglicher Bekämpfung?) vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (1)
  7. Nach einer Malware attacke lassen sich einige Programme nicht mehr updaten
    Plagegeister aller Art und deren Bekämpfung - 04.01.2011 (49)
  8. Win XP nach Spyware Alert Attacke Rechner tot, selbst abges. Modi geht nicht
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (1)
  9. Mein Logfile nach Browser-Hijack-Beseitigung
    Log-Analyse und Auswertung - 11.09.2010 (1)
  10. Kein Sound nach Malware-Attacke
    Alles rund um Windows - 22.10.2009 (2)
  11. Hilfe - neue Attacke TR\Vundo - bitte Logfile checken - Danke
    Mülltonne - 19.12.2008 (0)
  12. Überprüfung nach Hacker-Attacke
    Mülltonne - 28.11.2008 (0)
  13. Hijack-Logfile (Rootkit-Verdacht unter Vista)
    Log-Analyse und Auswertung - 02.07.2008 (0)
  14. Nach Trojaner-Attacke speichert Windows keine Einstellungen mehr
    Plagegeister aller Art und deren Bekämpfung - 02.08.2007 (4)
  15. Dr Watson macht stress nach SpySherriff Attacke
    Log-Analyse und Auswertung - 19.04.2006 (3)
  16. Logfile TR/Rootkit.L
    Log-Analyse und Auswertung - 21.11.2005 (2)
  17. Keine Internetverbindung mehr nach CWS Attacke
    Log-Analyse und Auswertung - 30.03.2005 (18)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hijack-Logfile nach Rootkit Attacke. - Hallo Karl, danke für Deine Analyse. Die japanische IP lässt sich sicherlich mit TOR erklären, das habe ich nämlich installiert, wenngleich ich es selten benutze. Ich habe diese IP mal - Hijack-Logfile nach Rootkit Attacke....
Archiv
Du betrachtest: Hijack-Logfile nach Rootkit Attacke. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131