Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hijack-Logfile nach Rootkit Attacke.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 05.01.2007, 04:42   #1
Ich-mag-keine-Viren
 
Hijack-Logfile nach Rootkit Attacke. - Standard

Hijack-Logfile nach Rootkit Attacke.



Moinsen liebes Board.

Meine Wenigkeit hat sich nun auch hier eingefunden und möchte beim Viren & Co-Bashing mitmischen .

Vor kurzem hatte ich eine Rootkit Attacke, die aus einer exe kam, die ich jedoch vorher gescannt hatte. Die exe war in einer Mail enthalten, die vom Absender her einer mir bekannten Adresse täuschend ähnlich war, sich aber als Spam entpuppte, allerdings erst danach.
Spybot meldete ständige Versuche die Reg zu ändern, Avast killte ein paar Trojaner; aber die Attacken gingen weiter. Also habe ich die Systemwiederherstellung genutzt und seit dem ist Ruhe, aber ich weiß nicht, ob mein Rechner wirklich sauber ist.

Darum bitte ich Euch ganz nett um die Auswertung meines Log-Files vom Hijackthis. Habe persönliche Merkmale sowie Hyperlinks entfernt, bzw. verfremdet. Besonders die XOSTQ.exe kommt mir spanisch vor.... Mir geht es präzise ausgedrückt darum, zu wissen, ob die Systemwiederherstellung mein Problem beseitigt hat (alle Anzeichen deuten darauf hin, weil sich der PC ganz normal verhält und nichts auf Manipulation/ Sabotage/ Datenstrom hindeutet, bzw. der Spybot meldet keine Angriffe gegen die Registry und auch der Avast meldet nichts, ebensowenig der AdAware). Habe mehrer Antirootkit Proggys laufen, die zwar versteckte Prozesse melden, die aber nach Google-Nachforschung harmlos zu sein scheinen. Habe deswegen auf Nennung dieser Ergebnisse verzichtet.

Logfile of HijackThis v1.99.1
Scan saved at 04:15:52, on 05.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Avast4\aswUpdSv.exe
d:\Avast4\ashServ.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Avast4\ashDisp.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\ZoneAlarm\zlclient.exe
D:\PestPatrol\caissdt.exe
D:\PestPatrol\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
C:\WINDOWS\VM305_STI.EXE
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\WINDOWS\system32\ctfmon.exe
d:\Avast4\ashMaiSv.exe
d:\Avast4\ashWebSv.exe
D:\FREEDO~1\fdm.exe
D:\FIREFOX2\FIREFOX.EXE
D:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Free Download Manager\iefdmcks.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [avast!] d:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [Ad-aware] "D:\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CaISSDT] "D:\PestPatrol\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "D:\PestPatrol\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /M "Stylus DX4200" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] D:\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Vidalia] "D:\Internet Privacy\Vidalia\vidalia.exe"
O4 - Startup: Mein-DSL.lnk = ?
O4 - Global Startup: Privoxy.lnk = D:\Internet Privacy\Privoxy\privoxy.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Free Download Manager\dllink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167206951625
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE4A3B17-73CB-4783-B3DF-D9203E328FD0}: NameServer = 210.172.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9EBA1CC-678D-4611-953A-E771AE22DB4B}: NameServer = 217.237.150.115 217.237.149.142
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F}
- "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - d:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: XOSTQ - Unknown owner - C:\DOKUME~1\XXXXXX\LOKALE~1\Temp\XOSTQ.exe (file missing)


Hab vorhin erst die Datei bar888.dll und den uninstall.exe sowie ein ewig langes aus Zahlen bestehendes Verzeichnis platt gemacht.

Hoffe Ihr könnt mir helfen, habe echt null Peilung.... Hab die auffälligen Sachen mal fett markiert, nämlich die komischen IP-Adressen und diese XOblablablubb.exe (die aber offenbar das Weite gesucht hat...). Also ich möchte einfach nur wissen, ob mein Rechner Schnupfen hat, sprich: ob da was faul ist, ob da umgeleitet wird über Russland oder sonstwo, ob Spione mitstarten bzw. ob da halt was mitläuft, was es nicht sollte.

Vielen Dank und Gruß
Ich-mag-keine-Viren


P.S.:
Falls die Darstellung nicht reicht, bitte melden, ich kann ja noch ggf. nötige Infos nachreichen.

Geändert von Ich-mag-keine-Viren (05.01.2007 um 04:50 Uhr)

Alt 05.01.2007, 07:56   #2
KarlKarl
/// Helfer-Team
 
Hijack-Logfile nach Rootkit Attacke. - Standard

Hijack-Logfile nach Rootkit Attacke.



Hi,

zu den markierten Einträgen:

Die IP im ersten O17 liegt in Japan, sehr suspekt, sollte gefixt werden. Die beiden IPs des zweiten O17 gehören zur Telekom und sind ok.

Der O18 gewhört zum MSN Messenger und ist ok. "(file missing)" behauptet Hijackthis öfter obwohl es nicht stimmt, Namen in "" sind eine Möglichkeit.

Der O23 sieht nach Rootkitrevealer aus. Der erzeugt einen solchen Prozess mit einem zufällig gewählten Namen, damit er nicht ganz so leicht von den Rootkits erkannt werden kann. Normalerweise räumt er ihn wieder auf, manchmal fällt das aber aus, z.B. wenn er nicht sauber beendet wurde.

Zitat:
Habe mehrer Antirootkit Proggys laufen, die zwar versteckte Prozesse melden, die aber nach Google-Nachforschung harmlos zu sein scheinen. Habe deswegen auf Nennung dieser Ergebnisse verzichtet.
In dem "zu sein scheinen" steckt die Möglichkeit eines Irrtums, es wäre gut, wenn Du diese Ergebnisse noch postest. Versteckte Prozesse sind interessant (und verdächtig).

Gruß, Karl
__________________


Alt 05.01.2007, 11:56   #3
Ich-mag-keine-Viren
 
Hijack-Logfile nach Rootkit Attacke. - Standard

Hijack-Logfile nach Rootkit Attacke.



Hallo Karl,

danke für Deine Analyse.

Die japanische IP lässt sich sicherlich mit TOR erklären, das habe ich nämlich installiert, wenngleich ich es selten benutze. Ich habe diese IP mal eingegeben bei Google und es kommt eine offensichtlich TOR-bezogene Seite (wenngleich man die nicht anwählen kann), also wird diese wohl dem Proxy zuzuordnen sein. Ich denke auch, dass mehr Ergebnisse kämen bei Google, u.a. von anderen Boards wenn diese IP schmutzig wäre.

So, nun liefere ich noch Logs von meinen Rootkit-Jägern nach, hier erst mal vom TrendMicro Rootkit Buster:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1049
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Root : 0
SubKey : jdgg40
ValueName : ujdew
Data : 20 02 00 00 E7 56 C0 78 ...
ValueType : 3
AccessType: 0
FullLength: 0x4b
DataSize : 0x220
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40
Root : 0
SubKey : jdgg40
ValueName : ljej40
Data : 69 CB FC E5 34 20 22 72 ...
ValueType : 3
AccessType: 0
FullLength: 0x4b
DataSize : 0x1ac
2 hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.


Googeln hat ergeben, dass diese Einträge vom Alcohol120 stammen.

Die Datei vom Eintrag 023 ist in der Tat auch nach einem Reboot nicht mehr auf meinem System. Auch lässt sich nix über sie im Netz finden, weswegen ich einfach mal annehme, dass RRevealer sie nicht ganz sauber entfernt hat.

IceSword meldet im Wesentlichen 2 ihm verdächtig vorkommende Aktivitäten. Nämlich von a347bus.sys und vsdatant.sys. Erstgenanntes ist wiederum mit Alcohol120 verbunden, zweit genannte sys ist offensichtlich ein Bestandteil vom Zone Alarm, den ich i.d.T. laufen habe.

Der Rootkit Unhooker spuckt folgendes Log aus:

>SSDT State
!!!!!!!!!!!Hooked service: NtClose
Actual Address 0xF7492028
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtConnectPort
Actual Address 0xBABE68D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateFile
Actual Address 0xBABE32D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateKey
Actual Address 0xBABEE0D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreatePagingFile
Actual Address 0xF7485B00
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtCreatePort
Actual Address 0xBABE6C60
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateProcess
Actual Address 0xBABECEE0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateProcessEx
Actual Address 0xBABED110
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateSection
Actual Address 0xBABF06D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtCreateWaitablePort
Actual Address 0xBABE6D40
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteFile
Actual Address 0xBABE3950
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteKey
Actual Address 0xBABEF0B0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDeleteValueKey
Actual Address 0xBABEED00
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtDuplicateObject
Actual Address 0xBABECC50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtEnumerateKey
Actual Address 0xF74865DC
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtEnumerateValueKey
Actual Address 0xF7492120
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtLoadKey
Actual Address 0xBABEF3E0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenFile
Actual Address 0xBABE37A0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenKey
Actual Address 0xF7491FA4
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtOpenProcess
Actual Address 0xBABEC9A0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtOpenThread
Actual Address 0xBABEC7C0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtQueryKey
Actual Address 0xF74865FC
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtQueryValueKey
Actual Address 0xF7492076
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtReplaceKey
Actual Address 0xBABEF6D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtRequestWaitReplyPort
Actual Address 0xBABE6570
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtRestoreKey
Actual Address 0xBABEF980
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSecureConnectPort
Actual Address 0xBABE6A80
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSetInformationFile
Actual Address 0xBABE3AC0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtSetSystemPowerState
Actual Address 0xF7491550
Hooked by: a347bus.sys

!!!!!!!!!!!Hooked service: NtSetValueKey
Actual Address 0xBABEE897
Hooked by: C:\WINDOWS\System32\vsdatant.sys

!!!!!!!!!!!Hooked service: NtTerminateProcess
Actual Address 0xBABED340
Hooked by: C:\WINDOWS\System32\vsdatant.sys

>Processes
>Drivers
>Files
Suspect File: D:\Cache\dtatempfile1167992182528.part2 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992184108.part1 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992187793.part0 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992188587.part3 Status: Hidden
Suspect File: D:\Cache\dtatempfile1167992189880.part4 Status: Hidden
Suspect File: F:\HUEPP.GIF Status: Hidden
>Hooks
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> GetSidSubAuthorityCount, Type: Inline at address 0x00417650 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCloseKey, Type: Inline at address 0x00417540 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyA, Type: Inline at address 0x004175A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyExA, Type: Inline at address 0x004175E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyExW, Type: Inline at address 0x00417600 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegCreateKeyW, Type: Inline at address 0x004175C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteKeyA, Type: Inline at address 0x00417620 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteKeyW, Type: Inline at address 0x00417650 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteValueA, Type: Inline at address 0x00417680 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegDeleteValueW, Type: Inline at address 0x004176B0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumKeyExA, Type: Inline at address 0x004176E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumKeyExW, Type: Inline at address 0x00417710 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumValueA, Type: Inline at address 0x00417740 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegEnumValueW, Type: Inline at address 0x00417770 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegFlushKey, Type: Inline at address 0x00417570 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyA, Type: Inline at address 0x004177A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyExA, Type: Inline at address 0x004177E0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyExW, Type: Inline at address 0x00417810 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegOpenKeyW, Type: Inline at address 0x004177C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryInfoKeyA, Type: Inline at address 0x00417840 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryInfoKeyW, Type: Inline at address 0x00417870 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueA, Type: Inline at address 0x004178A0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueExA, Type: Inline at address 0x00417900 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueExW, Type: Inline at address 0x00417930 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegQueryValueW, Type: Inline at address 0x004178D0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueA, Type: Inline at address 0x00417960 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueExA, Type: Inline at address 0x004179C0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueExW, Type: Inline at address 0x004179F0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> advapi32.dll -> RegSetValueW, Type: Inline at address 0x00417990 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> CreateFileA, Type: Inline at address 0x00459870 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> CreateFileW, Type: Inline at address 0x00459940 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> kernel32.dll -> IsDebuggerPresent, Type: Inline at address 0x005CA6D0 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> ChangeDisplaySettingsExA, Type: Inline at address 0x00459810 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> ChangeDisplaySettingsExW, Type: Inline at address 0x00459840 hook handler located in [mplayerc.exe]
!!!!!!!!!!!Hook: mplayerc.exe -> user32.dll -> MapVirtualKeyExW, Type: Inline at address 0x00459840 hook handler located in [mplayerc.exe]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)


Das wärs soweit. Hoffe das sagt genug aus.

Gruß und danke,
Ich-mag-keine-Viren







Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

zu den markierten Einträgen:

Die IP im ersten O17 liegt in Japan, sehr suspekt, sollte gefixt werden. Die beiden IPs des zweiten O17 gehören zur Telekom und sind ok.

Der O18 gewhört zum MSN Messenger und ist ok. "(file missing)" behauptet Hijackthis öfter obwohl es nicht stimmt, Namen in "" sind eine Möglichkeit.

Der O23 sieht nach Rootkitrevealer aus. Der erzeugt einen solchen Prozess mit einem zufällig gewählten Namen, damit er nicht ganz so leicht von den Rootkits erkannt werden kann. Normalerweise räumt er ihn wieder auf, manchmal fällt das aber aus, z.B. wenn er nicht sauber beendet wurde.


In dem "zu sein scheinen" steckt die Möglichkeit eines Irrtums, es wäre gut, wenn Du diese Ergebnisse noch postest. Versteckte Prozesse sind interessant (und verdächtig).

Gruß, Karl
__________________

Antwort

Themen zu Hijack-Logfile nach Rootkit Attacke.
ad-aware, adobe, antivirus, avast!, bho, drivers, ellung, exe, firefox, free download, helfen, helper, hijack, install.exe, internet, internet explorer, ip-adresse, log-files, logfile, monitor, problem, prozesse, präzise, registry, rootkit, rundll, software, spam, starten, trojaner, urlsearchhook, usb, viren, windows, windows xp, ändern



Ähnliche Themen: Hijack-Logfile nach Rootkit Attacke.


  1. Win7: Chrome Browser nach Malware Attacke sehr langsam.
    Plagegeister aller Art und deren Bekämpfung - 02.07.2015 (6)
  2. Logfile von Hijack This nach Iminent infektion
    Log-Analyse und Auswertung - 17.04.2013 (8)
  3. Nach "Bundespolizei" Trojaner Attacke - Dateien können nich entschlüsselt werden
    Plagegeister aller Art und deren Bekämpfung - 19.09.2012 (1)
  4. Production Security Services- Problem nach Security Shield Attacke
    Plagegeister aller Art und deren Bekämpfung - 18.03.2012 (14)
  5. Logfile dds nach schädlichen Hijack-this Einstufungen
    Log-Analyse und Auswertung - 24.02.2012 (5)
  6. Wie soll ich nach einer Trojaner"attacke" (und möglicher Bekämpfung?) vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2012 (1)
  7. Nach einer Malware attacke lassen sich einige Programme nicht mehr updaten
    Plagegeister aller Art und deren Bekämpfung - 04.01.2011 (49)
  8. Win XP nach Spyware Alert Attacke Rechner tot, selbst abges. Modi geht nicht
    Plagegeister aller Art und deren Bekämpfung - 28.12.2010 (1)
  9. Mein Logfile nach Browser-Hijack-Beseitigung
    Log-Analyse und Auswertung - 11.09.2010 (1)
  10. Kein Sound nach Malware-Attacke
    Alles rund um Windows - 22.10.2009 (2)
  11. Hilfe - neue Attacke TR\Vundo - bitte Logfile checken - Danke
    Mülltonne - 19.12.2008 (0)
  12. Überprüfung nach Hacker-Attacke
    Mülltonne - 28.11.2008 (0)
  13. Hijack-Logfile (Rootkit-Verdacht unter Vista)
    Log-Analyse und Auswertung - 02.07.2008 (0)
  14. Nach Trojaner-Attacke speichert Windows keine Einstellungen mehr
    Plagegeister aller Art und deren Bekämpfung - 02.08.2007 (4)
  15. Dr Watson macht stress nach SpySherriff Attacke
    Log-Analyse und Auswertung - 19.04.2006 (3)
  16. Logfile TR/Rootkit.L
    Log-Analyse und Auswertung - 21.11.2005 (2)
  17. Keine Internetverbindung mehr nach CWS Attacke
    Log-Analyse und Auswertung - 30.03.2005 (18)

Zum Thema Hijack-Logfile nach Rootkit Attacke. - Moinsen liebes Board. Meine Wenigkeit hat sich nun auch hier eingefunden und möchte beim Viren & Co-Bashing mitmischen . Vor kurzem hatte ich eine Rootkit Attacke, die aus einer exe - Hijack-Logfile nach Rootkit Attacke....
Archiv
Du betrachtest: Hijack-Logfile nach Rootkit Attacke. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.