Ordner versteckt und keylogger installiert

plat · 01.05.2008, 13:09

Hallo,

so ich erkläre erstmal wie das ganze entstanden ist.
Ich hab eine unbekannte Datei runtergeladen :-). Da das Risiko schon ziemlich groß war hab ich das Virenprogramm neu installiert, damit ich die neuesten Signaturen hab.
Datei vor dem öffnen geprüft nichts auffälliges. Ok diese Datei ausgeführt und eine Fehlermeldung erhalten: "Anwendung neu installieren und neu versuchen". Ok kann vorkommen bis jetzt nicht eigenartig. Dann schlug die Firewall an, dass sich eine Datei names system32Jffa.exe ins Internet verbinden will, um Daten an einen Messengeraccount zu schicken. Diese Zufallsendung war dann schonmal sehr eigenartig. Die Datei sollte im Windowsordner sein. Der Windowsordner wurde allerdings jetzt versteckt und ist entweder nur noch manuell oder über die Eingabeaufforderung erreichbar also der Ordner wird nicht mehr im Arbeitsplatz oder Explorer angezeigt. Das Problem ist es existiert keine system32Jffa.exe mit diesem Namen, sondern nur Dateien mit der Endung .006 und .007. Zudem hat diese Datei ein Programm namens system32akv.exe installiert was die Benutzeroberfläche eines Keyloggers ist und noch dazugehörige Konfigurationsdateien. Desweiteren ist unter allen run einträgen in der registry schonmal nichts auffälliges zu finden. Insgesammt wurden 12 Dateien von diesem Virus oder was auch immer erstellt. Die hab ich erstmal umbenannt. Die Registry durchsucht nach diesen Dateien und alles bereinigt. Im Taskmanager ist nichts auffälliges zu erkennen die Firewall schlägt auch nicht mehr an.
Die Antivirussoftware hat von anfang an nicht angeschlagen. Die Dateien hab ich jetzt mal eingeschickt.

Gescannt hab ich mittlerweile mit Nod32, Spybot-Search and Destroy, Blacklight Rootkiteleminator und Malwarebytes Anti-Malware.

Allerdings ist jetzt der Windowsordner noch immer versteckt. Wenn jemand einen Eintrag in der Registry kennt wäre ich sehr dankbar. Über die Ordneroptionen ist da nichts zu machen.

Gruß
plat

hier noch die Auswertung mit Hijack, vielleicht fällt da noch jemandem was auf .

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:28, on 01.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90C9E329-075B-43E9-94D8-B0E677509F95}: NameServer = 192.x.x.x
O17 - HKLM\System\CCS\Services\Tcpip\..\{B267F791-81DD-4582-978E-DCDA15926BB2}: NameServer = 192.x.x.x
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6054922-7996-42BD-9180-2619BC322FEE}: NameServer = 212.x.x.x,212.x.x.x
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\filezillaftp\filezillaserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 7949 bytes

markusg · 02.05.2008, 10:24

Hallo, hast du die dateien noch?
besuche mal bitte diese seite:

http://www.virustotal.com/en/indexf.html
lade dort all diese dateien hoch und zeige uns die ergebnisse mit tabellenkopf und zusätzliche informationen. Bitte warte bis bei scan beendet steht befor du das Ergebniss kopierst.
Dein pc sollte noch weiter untersucht werden, ich hab da noch einen seltsamen eintrag gesehen.

plat · 02.05.2008, 12:47

Das Ergebnis ist glaube ich vielversprechend. Ich bin gerade nur von meiner Antivirussoftware ein bisschen schockiert, dass die nichts gefunden hat.
Und welchen seltsamen Eintrag hast du noch gesehen?

Das war die eine Datei.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.2.1 2008.05.02 Win-Trojan/Ardamax.14848.B
AntiVir 7.8.0.11 2008.05.02 SPR/Ardamax.K.Gen
Authentium 4.93.8 2008.05.02 W32/Trojan.AXGS
Avast 4.8.1169.0 2008.05.02 Win32:Agent-LWO
AVG 7.5.0.516 2008.05.02 Dropper.Agent.DYZ
BitDefender 7.2 2008.05.02 Backdoor.Hupigon.EMK
CAT-QuickHeal 9.50 2008.05.01 Win32.Trojan-Spy.Ardamax.e4
ClamAV 0.92.1 2008.05.02 Trojan.Spy.Ardamax-25
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5752 2008.05.02 -
Ewido 4.0 2008.05.01 Dropper.Agent.bit
F-Prot 4.4.2.54 2008.05.01 W32/Trojan.AXGS
F-Secure 6.70.13260.0 2008.05.02 Ardamax.gen2
Fortinet 3.14.0.0 2008.05.02 Adware/Ardamax
Ikarus T3.1.1.26 2008.05.02 Trojan-Dropper.Win32.Agent.bjm
Kaspersky 7.0.0.125 2008.05.02 Trojan-Spy.Win32.Ardamax.e
McAfee 5285 2008.04.30 Keylog-Ardamax.dr.gen
Microsoft None 2008.04.22 -
NOD32v2 3070 2008.05.02 -
Norman 5.80.02 2008.04.30 W32/Ardamax.gen1
Panda 9.0.0.4 2008.05.01 Application/Ardamax
Prevx1 V2 2008.05.02 Heuristic: Suspicious Self Modifying File
Rising 20.42.22.00 2008.04.30 Trojan.Spy.Win32.Ardamax.e
Sophos 4.29.0 2008.05.02 Ardamax Installer
Sunbelt 3.0.1097.0 2008.05.01 -
Symantec 10 2008.05.02 -
TheHacker 6.2.92.298 2008.04.30 -
VBA32 3.12.6.5 2008.05.01 Trojan-Dropper.Win32.Agent.bjm
VirusBuster 4.3.26:9 2008.05.01 TrojanSpy.Ardamax.Q
Webwasher-Gateway 6.6.2 2008.05.02 Riskware.Ardamax.K.Gen
weitere Informationen
File size: 515727 bytes
MD5...: 32b9bea6558364db5c49bcca3f20c9f4
SHA1..: 8e70c75031da002d93f7a6fb49cd2ae54d55495f
SHA256: ee6b028ad9d0c11544efbcb5ee5cca6d80cc777a2143f3bb56b51f7cf385826a
SHA512: b13556350acf582565fa038b23fbbc6890430b8b4bd16d25818a0be553c477ec
0852a2021c63bc07379e9cd904672f94c06ceeba22b55c96c5fcda13a8210621
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403308
timedatestamp.....: 0x464ee36b (Sat May 19 11:45:47 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x24c2 0x2600 6.41 f6990d387bde52898fe8152114b84b2d
.rdata 0x4000 0x7be 0x800 4.70 99249550b139bd2481fd37df15cd62dc
.data 0x5000 0x1460 0x400 2.83 30d34f69d11b65b98448f24d92cd5fef
.rsrc 0x7000 0x95c 0xa00 3.78 fd9bc2447445caff11784b9d3a58be78

( 3 imports )
> MSVCRT.dll: __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, _acmdln, __p__fmode, __set_app_type, _except_handler3, _controlfp, _XcptFilter, _exit, _onexit, __dllonexit, __1type_info@@UAE@XZ, calloc, exit, memcpy, memset, _itow, __2@YAPAXI@Z, _wcsdup, __3@YAXPAX@Z, free, __p__commode
> KERNEL32.dll: GetModuleHandleA, GetTempPathW, GetModuleHandleW, GetModuleFileNameW, CreateFileW, SetFilePointer, CloseHandle, GetTempFileNameW, FreeLibrary, DeleteFileW, WriteFile, ReadFile, LoadLibraryW, GetProcAddress, GetStartupInfoA
> USER32.dll: MessageBoxW

( 0 exports )

markusg · 02.05.2008, 12:54

hi,
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\filezillaftp\filezillaserver.ex e (file missing)
sieht zwar so aus, als ob das schon gelöscht währe, sicher bin ich aber net.
ja, es handelt sich bei der geprüften datei definitiv um einen keylogger.
Nutze combofix nach anleitung:
http://virus-protect.org/artikel/tools/combofix.html
zeige mir das log!
Danach ein neues hijackthis-log erstellen und posten.

plat · 02.05.2008, 13:18

Diesen Eintrag
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - C:\Programme\xampp\filezillaftp\filezillaserver.ex e (file missing)
hatte ich mittlerweile schon gefixt. Das war wohl eine unsaubere deinstallation von xampp einer Apache Simulation.

ComboFix 08-04-29.5 - xxxxx 2008-05-02 14:04:36.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.615 [GMT 2:00]
ausgeführt von:: F:\downloads\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-02 bis 2008-05-02 ))))))))))))))))))))))))))))))
.

2008-05-02 02:19 . 2008-05-02 02:19 6,144 --ahs---- C:\Thumbs.db
2008-05-02 00:47 . 2008-05-02 00:47 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\DoctorWeb
2008-05-02 00:37 . 2008-05-02 00:43 <DIR> d-------- C:\Programme\Yahoo!
2008-05-02 00:37 . 2008-05-02 00:37 <DIR> d-------- C:\Programme\CCleaner
2008-05-01 20:35 . 2008-05-01 20:35 <DIR> d-------- C:\Programme\Safer Networking
2008-05-01 18:01 . 2008-05-01 18:09 228 --a------ C:\WINDOWS\w32demo8.ini
2008-05-01 13:36 . 2008-05-01 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes
2008-05-01 13:36 . 2008-05-01 13:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-30 18:43 . 2008-04-30 18:42 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-30 18:43 . 2008-04-30 18:43 2,544 --a------ C:\WINDOWS\unins000.dat
2008-04-09 21:33 . 2008-05-01 21:13 <DIR> d-------- C:\Programme\Google
2008-04-07 19:58 . 2008-04-07 19:58 37 --a------ C:\WINDOWS\P2kRotate.ini
2008-04-03 19:35 . 2008-04-15 17:58 <DIR> d-------- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\IBP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-02 11:30 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-01 22:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-01 21:35 --------- d-----w C:\Programme\WinTV
2008-04-30 16:43 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-30 15:56 --------- d-----w C:\Programme\ESET
2008-04-18 21:08 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\dvdcss
2008-04-06 21:29 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-03 16:38 945,664 ----a-w C:\WINDOWS\system32\semtempl.dll
2008-03-28 23:36 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\sim
2008-03-21 13:46 --------- d-----w C:\Programme\MultipleIEs
2008-03-16 22:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-03-13 14:52 33,800 ----a-w C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-03-13 14:44 29,704 ----a-w C:\WINDOWS\system32\drivers\easdrv.sys
2008-03-13 14:43 40,456 ----a-w C:\WINDOWS\system32\drivers\eamon.sys
2008-03-09 16:39 --------- d-----w C:\Programme\phase5
2008-03-08 13:50 --------- d-----w C:\Programme\Microsoft
2008-03-05 18:34 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys
2008-03-05 18:34 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys
2008-03-04 01:18 --------- d-----w C:\Programme\DAEMON Tools Pro
2008-03-04 01:16 --------- d-----w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\DAEMON Tools Pro
2008-03-04 01:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2008-03-01 20:55 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-11 22:19 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-08-22 16:42 22,328 ----a-w C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\PnkBstrK.sys
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2006-07-17 02:00 359808 e5f6f10b28d953c7c61cf0b10a63e099 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-07-17 02:00 359808 e5f6f10b28d953c7c61cf0b10a63e099 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 22:09 1211176]
"DAEMON Tools Pro Agent"="C:\Programme\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08 136136]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07 49263]
"AtiPTA"="atiptaxx.exe" [2006-02-22 03:05 344064 C:\WINDOWS\system32\atiptaxx.exe]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-06-30 17:56 2376928]
"Xfire"="Xfire.exe" []
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"egui"="C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" [2008-03-13 16:48 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2006-07-17 02:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
"2799:UDP"= 2799:UDP:Altova License Metering Port (UDP)
"2799:TCP"= 2799:TCP:Altova License Metering Port (TCP)

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]
R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2008-01-23 22:00]
R2 acedrv11;acedrv11;C:\WINDOWS\system32\drivers\acedrv11.sys [2008-01-23 10:19]
R3 hcw95bda;Hauppauge MOD7700 Tuner Driver;C:\WINDOWS\system32\Drivers\hcw95bda.sys [2007-04-04 20:45]
R3 hcw95rc;Hauppauge MOD7700 IR Driver;C:\WINDOWS\system32\DRIVERS\hcw95rc.sys [2007-04-04 20:48]
S3 camvid20;Philips ToUcam Camera; Video;C:\WINDOWS\system32\DRIVERS\camdrv21.sys []
S3 HauppaugeTVServer;HauppaugeTVServer;C:\PROGRA~1\WinTV\HCWTVS~1.EXE [2007-02-20 16:11]
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d822d9c0-65ea-11dc-9ba6-00e07da0b8b9}]
\Shell\AutoRun\command - G:\Setup\rsrc\Autorun.exe
\Shell\dinstall\command - G:\Directx\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dcbd3674-3883-11dc-9b41-00e07da0b8b9}]
\Shell\AutoRun\command - H:\autorun.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 14:06:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-02 14:08:55
ComboFix-quarantined-files.txt 2008-05-02 12:08:43

10 Verzeichnis(se), 19,538,698,240 Bytes frei
14 Verzeichnis(se), 19,530,473,472 Bytes frei

134

--------------------------------------------------------------------------

Hier das File von Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:08, on 02.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\DAEMON Tools Pro\DTProAgent.exe
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
F:\downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90C9E329-075B-43E9-94D8-B0E677509F95}: NameServer = 192.x.x.x
O17 - HKLM\System\CCS\Services\Tcpip\..\{B267F791-81DD-4582-978E-DCDA15926BB2}: NameServer = 192.x.x.x
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6054922-7996-42BD-9180-2619BC322FEE}: NameServer = 212.x.x.x,212.x.x.x
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SsBeSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 8062 bytes

markusg · 02.05.2008, 13:26

hattest du bereits einen scan mit malwarebytest gemacht? wenn ja log zeigen.
bitte erneut updaten dann bei optionen alle laufwerke und komplettscan wählen. funde löschen und log posten.

plat · 02.05.2008, 13:33

Also mittlerweile hab ich mit fast jeder erdenklichen software gescannt und es wurde nie was gefunden.

Mit dem hab ich jetzt alles gescannt:

Nod32, Spybot-Search and Destroy, Blacklight Rootkiteleminator , Malwarebytes Anti-Malware , CC-cleaner, cureit, mwav und Combofix

und mit Rootkitrevealer auch noch

markusg · 02.05.2008, 13:42

sieht ja auch alles ganz gut aus. muss es eigendlcih dein momentanes antivirenprogramm bleiben?
ich würde dir eher zu avira antivir raten. wenn du wechseln willst, kann ich dir n link und einstelltipps geben. ich würde dazu raten, da die erkennungsraten deines av-programmes net so hoch sind.
Besuche nun die microsoft-update-seite spiele alle für dich angebotenen wichtigen updates auf.
besuche dann die seite von secunia und spiele auch alle angebotenen updates auf zeige mir den bericht. bitte net den html-code sondern einfach kopieren und einfügen von der dir angezeigten seite.
http://www.trojaner-board.de/83959-secunia-personal-software-inspector-psi.html
bitte diese beiden seiten alle vier wochen besuchen, dies erhöt deine sciherheit.
danach ein neues hjt-log erstellen. lass den CCleaner dein system bereinigen. erstelle auch eine uninstallist zu finden unter extras und poste diese bitte ebenfalls.
Zu deinem problem mit dem ordnern: öffne arbeitsplatz,extras,ordneroptionen registerkarte ansicht:
Dateinamenerweiterungen bei bekannten Dateitypen ausblenden off
Geschützte systemdateien einblenden on
Inhalte von systemordnern einblenden on
Versteckte dateien und ordner alle anzeigen on
Bitte lösch auch die umbenannten dateien des keyloggers.

plat · 02.05.2008, 16:02

Ja diese Einstellungen hatte ich aber der Windowsordner wird noch immer als versteckt deklariert und kann auch nicht geändert werden.

02.05.2008, 13:26	#6
markusg /// Malware-holic	Ordner versteckt und keylogger installiert hattest du bereits einen scan mit malwarebytest gemacht? wenn ja log zeigen. bitte erneut updaten dann bei optionen alle laufwerke und komplettscan wählen. funde löschen und log posten.

Ordner versteckt und keylogger installiert

Plagegeister aller Art und deren Bekämpfung: Ordner versteckt und keylogger installiert