Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit im System? Bitte mal anschauen!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.10.2008, 18:23   #1
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Icon27

Rootkit im System? Bitte mal anschauen!



Hallo Leute,
ich bin nicht gerade Experte!
Könnte sich das bitte mal einer anschauen?
Hier eine Logdatei von RootKitRevealer:

Code:
ATTFilter
HKLM\SECURITY\Policy\Secrets\SAC*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	22.02.2006 19:44	13 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	05.10.2008 17:31	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	15.01.2008 00:25	0 bytes	Access is denied.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\metrics.xml	05.10.2008 17:31	0 bytes	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\parent.lock	05.10.2008 17:36	0 bytes	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\places.sqlite-journal	05.10.2008 17:40	56.61 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\sessionstore.js	05.10.2008 17:50	14.01 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\06D36E36d01	05.10.2008 17:44	42.17 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\7B403515d01	02.10.2008 14:55	19.65 KB	Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\8F78EAADd01	05.10.2008 17:37	38.70 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\A5836543d01	05.10.2008 17:46	29.28 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\ABE74DFDd01	05.10.2008 17:37	38.81 KB	Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\C87015B9d01	05.10.2008 17:46	16.85 KB	Hidd
         
Danke schon mal für hilfreiche Kommentare!

Gruß Heinz

Alt 05.10.2008, 18:37   #2
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

ein paar Informationen zum Thema Betriebssystem und wieso du einen Rootkitscan gemacht hast, wären hilfreich.

Außerdem bitte den Rootkitscan nochmal wiederholen wenn du alle Programme beendet hast.

lg myrtille
__________________

__________________

Alt 05.10.2008, 19:14   #3
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hallo
und Danke für die schnelle Antwort!
Also, ich hab diesen Test gemacht, weil ich vor einer Woche mehrere Trojaner ins System geladen habe. Dieser hat sich, denke ich, an eine Musikdatei gehängt und wurde über Windows Media Player aktiviert. Dann hatte ich die Datei "Codec_Setup.exe" auf meinem Desktop, bin sie aber nicht wieder losgeworden. Dann hab ich mir Hilfe im HijackThis Forum geholt, hab verschiedene Prozesse durchlaufen, u.a. Malwarebytes, CCleaner, SmitFraudFix, etc. Aber als der 2. Schritt abgeschlossen war, habe ich keine Antwort mehr bekommen, seit 5 Tagen warte ich jetzt...
ich hoffe, das ist jetzt kein Problem für euch!
Naja, dann hab ich auf eigene Faust nochmal RootKitRevealer scannen lassen, um nach Rootkits zu schauen, nachdem ich heute wieder 2 Meldungen von Trojanerfunden bei AntiVirGuard hatte:


In der Datei 'C:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP4\A0000306.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\WINDOWS\system32\tdssserf1.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ich poste mal eine Hijackthis-Logfile mit, da ist das Betriebssytem ja beschrieben:


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:57, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe
C:\DOKUME~1\Anwender\LOKALE~1\Temp\qzoqbqrw.exe
C:\Dokumente und Einstellungen\Anwender\Desktop\RootkitRevealer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PKR Pal] "C:\Programme\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\programm_download\SuperAntiSpyWare\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Tools\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222901634359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222902052093
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\programm_download\SuperAntiSpyWare\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HG - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Anwender\LOKALE~1\Temp\HG.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9887 bytes
         

Und die neue Log von RootKitRevealer:


Code:
ATTFilter
HKLM\SECURITY\Policy\Secrets\SAC*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	04.09.2003 22:07	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*	14.03.2006 20:25	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol	22.02.2006 19:44	13 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	05.10.2008 18:52	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg	15.01.2008 00:25	0 bytes	Access is denied.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	17.09.2008 16:37	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	17.09.2008 16:37	111.50 KB	Visible in Windows API, but not in MFT or directory index.
         

Ich hoffe, das hilft weiter!
Vielen Dank schon mal!
LG Heinz
__________________

Alt 05.10.2008, 19:33   #4
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

arbeite bitte die DrWeb-Anleitung und die Malwarebytes-Anleitung aus unserem Anleitungen-Forum ab und poste das Ergebnis der beiden Scans hier.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 06.10.2008, 02:09   #5
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



So, hab die Schritte jatzt ausgeführt:
Scheint nicht so gut auszusehen.
Die gefundenen Objekte durch DrWeb habe ich noch nicht gelöscht.


Code:
ATTFilter
AntiXPVSTFix.exe;C:\WINDOWS\system32;BackDoor.IRC.Dosig.15;Gelöscht.;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;;
SetupPoker.exe\data001;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;D:\;Archiv enthält infizierte Objekte;Verschoben.;
A0000337.exe\data001;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data002;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data003;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5;Archiv enthält infizierte Objekte;Verschoben.;
         

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1230
Windows 5.1.2600 Service Pack 2

06.10.2008 02:04:22
mbam-log-2008-10-06 (02-04-22).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 142921
Laufzeit: 1 hour(s), 11 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
         

LG Heinz


Alt 06.10.2008, 02:13   #6
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

die ersten 2 Funde von DrWeb sind definitiv Fehlalarme. Die weiteren Funde kann ich nur schwer beurteilen, viele der Pokerprogramme sind "verseucht" ob der Fund jetzt berechtigt ist oder nicht, lässt sich so nicht sagen.

Mir fehlen allerdings ein paar andere "typische" Einträge. Könntest du mir den Link zu deinem Thema bei HijackThis geben?
lg myrtille
__________________
--> Rootkit im System? Bitte mal anschauen!

Alt 06.10.2008, 02:37   #7
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Ok, hier ist der Link!

http://forum.hijackthis.de/showthread.php?p=228575#post228575

So, werd mal ins Bett gehen und morgen wieder reinschauen!

Vielen lieben Dank schon mal für die Hilfe!
Lg Heinz

Alt 06.10.2008, 02:53   #8
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

das erklärt wo die Dateien geblieben sind.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 06.10.2008, 13:28   #9
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hallo,
hier die Links zu den Log Dateien


http://www.file-upload.net/download-1162137/log.txt.html

http://www.file-upload.net/download-1162139/info.txt.html


LG Heinz

Alt 07.10.2008, 00:59   #10
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

die Logs sehen sauber aus

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 07.10.2008, 14:14   #11
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hallo!
Also sind die Funde von DrWeb harmlos?

Wenn jetzt alles sauber ist, wäre es gut, wenn ich auf SP3 updaten würde, oder? Spricht irgendwas dagegen?

LG Heinz

Alt 07.10.2008, 14:19   #12
myrtille
/// TB-Ausbilder
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



Hi,

ja, die ersten 2 Funde (;BackDoor.IRC.Dosig.15 und Tool.Prockill sind Dateien die zu Smitfraudfix gehören, die fälschlicherweise erkannt werden.
Die restlichen Funden gehören zu deinen Pokerprogrammen.


Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates. (Kann nciht schaden )
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 07.10.2008, 14:34   #13
Heinz IV
 
Rootkit im System? Bitte mal anschauen! - Standard

Rootkit im System? Bitte mal anschauen!



OK!


Ein großes Dankeschön für die Hilfe!!!

:aplaus:


LG Heinz

Antwort

Themen zu Rootkit im System? Bitte mal anschauen!
anschauen, anwendungsdaten, cache, code, dokumente, einstellungen, embedded, experte, firefox, gen, hilfreiche, inprocserver32, leute, logdatei, lokale, microsoft, mozilla, not, revealer, rootkit, secrets, security, services, software, system, windows



Ähnliche Themen: Rootkit im System? Bitte mal anschauen!


  1. Rootkit in System Root /System 32/ Drivers ?
    Plagegeister aller Art und deren Bekämpfung - 11.05.2010 (26)
  2. TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken!
    Log-Analyse und Auswertung - 22.01.2009 (3)
  3. Bitte anschauen!!!
    Log-Analyse und Auswertung - 05.02.2008 (2)
  4. Bitte mal anschauen
    Mülltonne - 27.09.2007 (1)
  5. Bitte Log anschauen
    Log-Analyse und Auswertung - 02.07.2007 (8)
  6. Hallo bitte LOGFile anschauen System nun sauber ?
    Log-Analyse und Auswertung - 04.03.2007 (2)
  7. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 18.09.2006 (14)
  8. Kann da bitte jemand mein log file anschauen bitte
    Log-Analyse und Auswertung - 12.08.2006 (3)
  9. bitte anschauen
    Log-Analyse und Auswertung - 11.06.2006 (1)
  10. Bitte anschauen ;)
    Log-Analyse und Auswertung - 05.09.2005 (16)
  11. bitte log anschauen
    Log-Analyse und Auswertung - 25.08.2005 (2)
  12. Wie kommen bloß die ganzen Trojaner auf meinem Rechner-Logfile bitte ,bitte anschauen
    Log-Analyse und Auswertung - 15.07.2005 (3)
  13. Bitte mal anschauen...
    Log-Analyse und Auswertung - 22.03.2005 (3)
  14. bitte log anschauen :>
    Log-Analyse und Auswertung - 16.03.2005 (10)
  15. Bitte die Log anschauen !
    Log-Analyse und Auswertung - 11.03.2005 (2)
  16. log bitte mal anschauen :)
    Log-Analyse und Auswertung - 02.03.2005 (3)
  17. System jetzt sicher ? Bitte kurz anschauen
    Log-Analyse und Auswertung - 18.10.2004 (5)

Zum Thema Rootkit im System? Bitte mal anschauen! - Hallo Leute, ich bin nicht gerade Experte! Könnte sich das bitte mal einer anschauen? Hier eine Logdatei von RootKitRevealer: Code: Alles auswählen Aufklappen ATTFilter HKLM\SECURITY\Policy\Secrets\SAC* 04.09.2003 22:07 0 bytes Key - Rootkit im System? Bitte mal anschauen!...
Archiv
Du betrachtest: Rootkit im System? Bitte mal anschauen! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.