Hallo Leute,
Ich habe mal meinen PC mit AVG Anti-Rootkit getestet und er hat das gefunden:

Is das jetz wirklich n Rootkit oder funktioniert mein sys dann nicht mehr richtig, wenn ich das lösche? Die Dateinamen deuten darauf hin, dass sie zufällig erstellt wurden. Hat jemand Ahnung davon?
Gruß, 5ven

PS: hier mal mein HJT-Log

PHP-Code:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:48:45, on 10.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\cFosSpeed.v4.02.1312\spd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\cFosSpeed.v4.02.1312\cFosSpeed.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\snapsaver\snapsaver.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\Internet Download Manager\_IDMan.exe
C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe
C:\Programme\AutoDialUp\AutoDialUp.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\GRISOFT\AVG Anti-Rootkit Free\avgarkt.exe
C:\Programme\GRISOFT\AVG Anti-Rootkit Free\se0QcvOC6kW.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
F:\Downloads\Programs\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Copernic Desktop Search 2 - {968631B6-4729-440D-9BF4-251F5593EC9A} - C:\Programme\Copernic Desktop Search 2\DesktopSearchBand201013011.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed.v4.02.1312\cFosSpeed.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [snapsaver650] C:\Programme\snapsaver\snapsaver.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\_IDMan.exe /onboot
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Copernic Desktop Search 2] "C:\Programme\Copernic Desktop Search 2\DesktopSearchService.exe" /tray
O4 - HKCU\..\RunOnce: [AutoDialRun] "C:\Programme\AutoDialUp\AutoDialUp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download All Links with IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite 5.1\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite 5.1\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {A20B1BB0-AC3D-4530-85F3-791B81303190} (ICQDevilImg Control) - h**p://xtraz.icq.com/xtraz/products/photo/english/ICQDevilImg.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4FF48C4D-FBFA-44E8-B791-CEFDA2A49AA3}: NameServer = 194.8.194.60 213.168.112.60
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Programme\cFosSpeed.v4.02.1312\spd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: JNGFJHUPGCSTX - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Sven\LOKALE~1\Temp\JNGFJHUPGCSTX.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Unknown owner - C:\WINDOWS\system32\drivers\KodakCCS.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (Beta) (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - Unknown owner - C:\Programme\Virtual CD v9\System\vc9secs.exe (file missing)

--
End of file - 8723 bytes 


Hallo und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:


Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.


Gmer scannen lassen

* Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
* Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
* Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)
* Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
* Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird GMER beendet.
* Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Hallo zusammen, ich tippe mal auf Treiber von alcohol. Lade die Dateien mal bei virustotal.com zur Auswertung hoch. Kopiere den Pfad der Treiber in das Fenster (copy&paste) und lade sie hoch. Poste bitte die Ergebnisse der Auswertung inkl. HASHwerten.

Moin Sunny

Zitat:

Zitat von ordell1234

Hallo zusammen, ich tippe mal auf Treiber von alcohol. Lade die Dateien mal bei virustotal.com zur Auswertung hoch. Kopiere den Pfad der Treiber in das Fenster (copy&paste) und lade sie hoch. Poste bitte die Ergebnisse der Auswertung inkl. HASHwerten.

Moin Sunny

Moin Ordell, diese Vermutung hatte ich auch ...

Genau deshalb lasse ich die anderen "Produkte" mit einfließen..

Code: Alles auswählenAufklappen

ATTFilter

C:ProgrammeAlcohol SoftAlcohol 120StarWindStarWindServiceAE.exe
         

fsbl:

Code: Alles auswählenAufklappen

ATTFilter

01/10/08 13:59:34 [Info]: BlackLight Engine 1.0.67 initialized
01/10/08 13:59:34 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/10/08 13:59:34 [Note]: 7019 4
01/10/08 13:59:34 [Note]: 7005 0
01/10/08 13:59:35 [Note]: 7006 0
01/10/08 13:59:35 [Note]: 7011 1988
01/10/08 13:59:35 [Note]: 7026 0
01/10/08 13:59:36 [Note]: 7026 0
01/10/08 13:59:37 [Note]: FSRAW library version 1.7.1024
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:38 [Note]: 2000 1012
01/10/08 14:04:41 [Note]: 2000 1012
01/10/08 14:05:02 [Note]: 7007 0
         

sarscan

Code: Alles auswählenAufklappen

ATTFilter

Sophos Anti-Rootkit Version 1.3.1 (data 1.07)  (c) 2006 Sophos Plc
Started logging on 10.01.2008 at 18:03:54
Hidden:	file C:\WINDOWS\Temp\cch~28345c07f9ce.htp
Hidden:	file C:\WINDOWS\Temp\cch~28345c1371cf.htp
Stopped logging on 10.01.2008 at 18:12:01
         

Virustotal.com:

Code: Alles auswählenAufklappen

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	cdfe4411a69c224bd1d11b2da92dac51
Datum 	2008.01.10 18:03:41 (CET) [<1D]
Ergebnisse 	0/32
Permalink: 	analisis/4a5ccd0b6f4b775ebfd7c78f4b55dd37
         

Code: Alles auswählenAufklappen

ATTFilter

Die Datei wurde bereits analysiert:
MD5: 	cdfe4411a69c224bd1d11b2da92dac51
Datum 	2008.01.10 18:03:41 (CET) [<1D]
Ergebnisse 	0/32
Permalink: 	analisis/4a5ccd0b6f4b775ebfd7c78f4b55dd37
         

Sieht nicht gerade böse aus oder

Du hast bei Virustotal aber zweimal dieselbe Datei gescannt, oder?
Jedenfalls sind die MD5-Werte identisch.

Yep, die Dateien sind identisch, nur heißen sie anders. Sind beide von alcohol, also Entwarnung. Grüße

edit: was hat eigentlich der scan mit RootkitRevealer ergeben?

Nein hab ich nicht. sind wahrscheinlich die gleichen dateien habs gerade nochmal versucht (hat sich vermutlich keiner die mühe gemacht, den hash nachzumachen ).
edit: aso kk wenns das wirklich is, bin ich ja beruhigt. Dann Thx für die kompetente hilfe

Zitat:

Zitat von ordell1234

Sind beide von alcohol

Woher weißt du, wenn die Dateinamen doch zufällig erzeugt sind?

Ich habe fix ne Testversion von alcohol installiert und den gleichen Treiber zur Prüfung gesendet. MD5 ist identisch.

Alles klar, danke.
Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.

Zitat:

Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.

Mach dich zum remote-Admin deiner eigenen Kiste und ein sagenhafter Hauch der Macht umweht dich.

Zitat:

Zitat von Franz1968

Vielleicht sollte ich mir mal Testversionen gängiger Rootkits zulegen.

Soll ich dir zu dem Thema mal eine email schreiben?!

Hi 5ven,

wenn es dich nicht zu sehr stresst, würde ich gerne noch das Ergebnis eines Scans mit Gmer (wie oben beschrieben) sehen. Keine Panik, ich denke nicht, dass er was böses zeigen würde, er würde aber helfen, mit anderen Threads zu vergleichen, in denen vergleichbare Treibedatien auftreten.

Gruß und Dank,
Karl

BS: Win XP Pro, SP2, gmer 1.0.13:

- vor der Installation von alc120% -> nix im log
- nach der Installation von alcohol 120 % -> siehe gmer-alc.txt
- nach der Deinstallation von alcohol -> siehe gmer-no-alc.txt

Der spdt-Treiber wird über die normale Deinstall-routine nicht mit entfernt. Abhilfe schuf die von alkisoft getrennt angebotene Installation/Deinstalltion des spdt-Treibers, danach war GMER wieder blütenweiß.

Der sp**.sys-Treiber gehört ebenfalls zu Alcohol (oder IST der spdt.sys ), liegt in system32\drivers und ändert seinen Namen nach jedem Neustart.

Hoffe es hilft dir.


---------------------
OT:
Karl, mal ne Frage: Im Forum tauchte die Frage auf, was es mit dem Präfix \??\Windows... bei bestimmten Pfadangaben auf sich hat. Nach meiner Wahrnehmung tritt das oft im Zusammenhang mit dem Auslesen von Kernelmodulen auf.

Ein Blick ins Win-Internals-Buch hat folgendes zutage gefördert:

Zitat:

Kapitel 3, Object Manager:
One place in which the executive uses symbolic link objects is in translating MS-DOS-style device names into Windows internal device names. In Windows, a user refers to floppy and hard disk drives using the names A:, B:, C:, and so on and serial ports as COM1, COM2, and so on. The Windows subsystem makes these symbolic link objects protected, global data by placing them in the object manager namespace under the \?? object directory on Windows 2000 and the \Global?? directory on Windows XP and Windows Server 2003.

Session Namespace[..]A user logged on to the console session has access to the global namespace, a namespace that serves as the first instance of the namespace. Additional sessions are given a session-private view of the namespace known as a local namespace. The parts of the namespace that are localized for each session include \DosDevices, \Windows, and \BaseNamedObjects. Making separate copies of the same parts of the namespace is known as instancing the namespace. Instancing \DosDevices makes it possible for each user to have different network drive letters and Windows objects such as serial ports. On Windows 2000, the global \DosDevices directory is named \?? and is the directory to which the \DosDevices symbolic link points, and local \DosDevices directories are identified by the session id for the terminal server session. On Windows XP and later, the global \DosDevices directory is named \Global?? and is the directory to which \DosDevices points, and local \DosDevices directories are identified by the logon session ID.

[..]

All object manager functions related to namespace management are aware of the instanced directories and participate in providing the illusion that nonconsole sessions use the same namespace as the console session. Windows subsystem DLLs prefix names passed by Windows applications that reference objects in \DosDevices with \?? (for example, C:\Windows becomes \??\C:\Windows). When the object manager sees the special \?? prefix, the steps it takes depends on the version of Windows, but it always relies on a field named DeviceMap in the executive process object (EPROCESS, which is described further in Chapter 6) that points to a data structure shared by other processes in the same session.

Quelle: Microsoft® Windows® Internals, Fourth Edition: Microsoft Windows Server™ 2003, Windows XP, and Windows 2000
By Mark E. Russinovich, David A. Solomon

Nun geht mir das deutlich zu sehr in die Tiefen von Windows. Hast du evtl ne Erklärung für Normalsterbliche auf Lager?

Grüße nach Mexico, ordell