Ach du Schande. Und das wolltest du uns vorenthalten? Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Zitat:

Zitat von undoreal

Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Ich denke schon. Es kam zumindest keine Fehlermeldung und ich konnte auch sonst keine Anzeichen entdecken, das dies nicht der Fall sei.

Hier ist Log vom Navilog1:

Code: Alles auswählenAufklappen

ATTFilter

Search Navipromo version 3.6.5 began on 01.09.2008 at 23:51:02,57

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "Niki" 

Updated on 22.08.2008 at 17h30 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.13
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\Niki\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\Niki\startm~1\progra~1" *** 


*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net



*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\Niki\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate found !
Montorgueil certificate not found !
OOO-Favorit certificate found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 01.09.2008 at 23:58:07,09 ***
         

Folge bitte dieser Anleitung und poste alle logs.

Und suche wie in meiner Signatur beschrieben wird nach: omieoaq
Lösche alle Funde.



Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung

Zitat:

Zitat von undoreal

Folge bitte dieser Anleitung und poste alle logs.

Bei den RootKits hatte ich mehrere Probleme beim Runterladen der Dateien.

1. Ist beim AVG das AVG Antivirus das richtige, weil der Link bringt mich nicht direkt zu .exe Datei. Also ist Hier das linke das richtige?
2. Beim Bitdefender ist der Link zum Bitdefender Antirootkit-ß down.

Vielen Dank im voraus
Gruß Niki

AVG Anti-Rootkit

Bitdefender gibt es momentan scheinbar nicht mehr...

Rootkit Revealer:

Code: Alles auswählenAufklappen

ATTFilter

HKU\.DEFAULT\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\.DEFAULT\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-21-1202660629-1580436667-725345543-1003\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*	05.06.2007 21:14	0 bytes	Key name contains embedded nulls (*)
HKU\S-1-5-18\Control Panel\International	01.09.2008 22:17	0 bytes	Security mismatch.
HKU\S-1-5-18\Control Panel\International\Geo	01.09.2008 22:17	0 bytes	Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC*	10.12.2006 15:02	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	10.12.2006 15:03	0 bytes	Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	07.04.2008 17:29	0 bytes	Access is denied.
C:\ ATI	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\ATI	02.06.16508 00:11	0 bytes	Hidden from Windows API.
C:\ATI\ .	17.09.1620 11:34	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\ATI\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\ 3C83474D61E624A4F9844DF935AFE217	01.01.1601 05:49	569 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\Content\3C83474D61E624A4F9844DF935AFE217	02.06.16508 00:12	569 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\ 3C83474D61E624A4F9844DF935AFE217	01.01.1601 09:30	142 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Microsoft\CryptnetUrlCache\MetaData\3C83474D61E624A4F9844DF935AFE217	02.06.16508 00:12	142 bytes	Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	24.04.2008 19:11	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	24.04.2008 19:11	111.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll	24.04.2008 19:11	8.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ fdc.PNF	01.01.1601 09:30	7.77 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ flpydisk.PNF	01.01.1601 09:30	8.30 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ msdv.PNF	01.01.1601 05:49	38.13 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\ oem7.PNF	15.11.1620 11:00	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\inf\fdc.PNF	02.06.16508 00:02	7.77 KB	Hidden from Windows API.
C:\WINDOWS\inf\flpydisk.PNF	02.06.16508 00:02	8.30 KB	Hidden from Windows API.
C:\WINDOWS\inf\msdv.PNF	02.06.16508 00:12	38.13 KB	Hidden from Windows API.
C:\WINDOWS\inf\oem7.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ ERRORREP	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP	02.06.16508 00:02	0 bytes	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ERRORREP\ .	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\ UserDumps	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps	02.06.16508 00:03	0 bytes	Hidden from Windows API.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps\ .	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\PCHEALTH\ERRORREP\UserDumps\ ..	01.01.1601 09:30	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ IKERNEL.EXE-1ED7DD43.pf	15.11.1620 11:00	64.25 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ NMIndexStoreSvr.exe-28939A55.pf	17.09.1620 06:48	31.79 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ OSA.EXE-2A196FE2.pf	17.09.1620 06:48	15.61 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ REGSVR32.EXE-396DEA2C.pf	17.09.1620 06:48	32.38 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ VERCLSID.EXE-28F52AD2.pf	01.01.1601 09:30	16.15 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\ WSCNTFY.EXE-0B14C27D.pf	01.01.1601 09:30	7.49 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\IKERNEL.EXE-1ED7DD43.pf	02.06.16508 00:12	64.25 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\NMIndexStoreSvr.exe-28939A55.pf	02.06.16508 00:04	31.79 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\OSA.EXE-2A196FE2.pf	02.06.16508 00:04	15.61 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf	02.06.16508 00:10	32.38 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\VERCLSID.EXE-28F52AD2.pf	02.06.16508 00:09	16.15 KB	Hidden from Windows API.
C:\WINDOWS\Prefetch\WSCNTFY.EXE-0B14C27D.pf	02.06.16508 00:13	7.49 KB	Hidden from Windows API.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\ bfeee528-c675-4290-b264-544e8b0d9e54	01.01.1601 09:30	388 bytes	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\Microsoft\Protect\S-1-5-18\User\bfeee528-c675-4290-b264-544e8b0d9e54	02.06.16508 00:02	388 bytes	Hidden from Windows API.
C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\ CX_48640.PNF	01.01.1601 09:30	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\CX_48640.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\ CX_48640.PNF	01.01.1601 09:30	362.16 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\CX_48640.PNF	02.06.16508 00:12	362.16 KB	Hidden from Windows API.
D:\Programme\Setupdateien\ 7-6_xp_dd_48640.exe	23.01.1622 02:11	14.22 MB	Visible in Windows API, but not in MFT or directory index.
D:\Programme\Setupdateien\7-6_xp_dd_48640.exe	02.06.16508 00:09	14.22 MB	Hidden from Windows API.
         

Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

09/02/08 12:34:15 [Info]: BlackLight Engine 1.0.70 initialized
09/02/08 12:34:15 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/02/08 12:34:15 [Note]: 7019 4
09/02/08 12:34:15 [Note]: 7005 0
09/02/08 12:34:17 [Note]: 7006 0
09/02/08 12:34:17 [Note]: 7011 1432
09/02/08 12:34:17 [Note]: 7035 0
09/02/08 12:34:18 [Note]: 7026 0
09/02/08 12:34:18 [Note]: 7026 0
09/02/08 12:34:19 [Note]: FSRAW library version 1.7.1024
09/02/08 12:53:23 [Note]: 7007 0
         

Sophos:

Code: Alles auswählenAufklappen

ATTFilter

Sophos Anti-Rootkit Version 1.3.1 (data 1.08)  (c) 2006 Sophos Plc
Started logging on 02.09.2008 at 12:55:07
Stopped logging on 02.09.2008 at 12:58:04
         

GMER (muss ich auf 2 Posts verteilen):

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-02 13:08:50
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT      sphp.sys                                                                                                   ZwCreateKey [0xF73DF0E0]
SSDT      sphp.sys                                                                                                   ZwEnumerateKey [0xF73FCCA2]
SSDT      sphp.sys                                                                                                   ZwEnumerateValueKey [0xF73FD030]
SSDT      sphp.sys                                                                                                   ZwOpenKey [0xF73DF0C0]
SSDT      sphp.sys                                                                                                   ZwQueryKey [0xF73FD108]
SSDT      sphp.sys                                                                                                   ZwQueryValueKey [0xF73FCF88]
SSDT      sphp.sys                                                                                                   ZwSetValueKey [0xF73FD19A]
SSDT      \??\D:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xAE620F20]

INT 0x62  ?                                                                                                          8676DBF8
INT 0x73  ?                                                                                                          867DBBF8
INT 0x82  ?                                                                                                          8676DBF8
INT 0x84  ?                                                                                                          8612CF00
INT 0xA4  ?                                                                                                          8612CF00
INT 0xB1  ?                                                                                                          867DBBF8
INT 0xB1  ?                                                                                                          867DBBF8
INT 0xB4  ?