Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Fragwürdige Datei "phunter"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 30.11.2008, 13:15   #1
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

da ich hier am verzweifeln bin würde ich euch gerne um Hilfe bitte. Es handelt sich über die Datei "phunter". Ich gehe mal star davon aus das es zu einem Programm gehört, leider kann ich diese Datei nicht auf meinem PC ausfindig machen. Sie wird weder über Autostarteinträge geladen noch über sonstiges sie ist ausschliesslich sichtbar wenn man unter Gerätemanager die ausgeblendeten Datein anzeigen lässt dort findet man diese als aktiv, jedoch ohne weitere Informationen. Scans mit verschiedenen Antivirentools oder Idendifikationsprogrammen brachten mir auch kein Ergebnis. Der einzigste Eintrag liegt in der Registry. Google brachte auch keine Ergebnisse usw. Hier die Infos:

Log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:27, on 30.11.2008
Platform: Windows XP SP3 
MSIE: Internet Explorer v7.00
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227921770437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227893590687
O17 - HKLM\System\CCS\Services\Tcpip\..\{68C6F781-FA7A-4BE3-A8D4-0FBFA23339EE}: NameServer = 192.168.2.1
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5403 bytes
         

Und hier der Registry Schlüssel:

Code:
ATTFilter
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000]
"Service"="phunter"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="phunter"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0004"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\Control]
         
vielen Dank

Alt 30.11.2008, 13:40   #2
Lumitu
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Also ich kann in deinem Hjt-Logfile nichts besonderes finden was auf eine bösartige Datei hinweist. Du kannst ja mal eine Antimalwaresoftware drüberlaufen lassen. Download hier

Gruß Lumitu
__________________


Alt 30.11.2008, 14:05   #3
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

Ja das habe ich alles bereits hinter mir. Malwarebytes Anti Malwarew usw. gefunden wird nichts, dennoch wüsste ich gerne was das für ein Treiber ist wie gesagt es ist mit keiner Hardware verankert oder ähnliches abert trotzdem aktiv.

Gruss
__________________

Alt 30.11.2008, 18:59   #4
john.doe
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Zitat:
Zitat von josy1982 Beitrag anzeigen
leider kann ich diese Datei nicht auf meinem PC ausfindig machen.
Das nennt sich Rootkit.

Zitat:
Google brachte auch keine Ergebnisse usw.
Weil du nach dem Namen gesucht hast. Hättest du nach
8ECC055D-047F-11D1-A537-0000F8753ED1
gesucht, dann könntest du hier landen. Wenn du dort auf Technical Details klickst, weißt du auch, warum du nichts gefunden hast. Der Name wird zufällig generiert.

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe.

4.) Blacklight ausführen und Logfile posten.

5.) Lade CatchMe auf deinen Desktop und starte es. Klick auf Scan. Wenn der Scan vorbei ist, poste die Datei catchme.log hier.

Danach sehen wir weiter.

ciao, andreas

Alt 30.11.2008, 21:51   #5
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

vielen Dank für die Antwort hier die logs. Bl geht bei mir irgendwie nicht der Treiber kann nicht geladen werde.

Zitat:
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 21:42:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Zitat:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
grüsse


Alt 30.11.2008, 21:55   #6
john.doe
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Lass noch einmal mbam laufen und poste das Log:
http://www.trojaner-board.de/51187-a...i-malware.html

Reinige anschliessend die Registry mit CCleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Geändert von john.doe (30.11.2008 um 22:02 Uhr)

Alt 30.11.2008, 22:03   #7
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

habe geschafft BL zum laufen zu bringen und gleich auch nochmal mbam log.

Zitat:
11/30/08 21:52:19 [Info]: BlackLight Engine 2.2.1092 initialized
11/30/08 21:52:19 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/30/08 21:52:19 [Note]: 7019 4
11/30/08 21:52:19 [Note]: 7005 0
11/30/08 21:52:27 [Note]: 7006 0
11/30/08 21:52:27 [Note]: 7011 660
11/30/08 21:52:27 [Note]: 7035 0
11/30/08 21:52:27 [Note]: 7026 0
11/30/08 21:52:28 [Note]: 7026 0
11/30/08 21:52:29 [Note]: FSRAW library version 1.7.1024
11/30/08 21:57:29 [Note]: 7007 0
Zitat:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1439
Windows 5.1.2600 Service Pack 3

30.11.2008 22:03:31
mbam-log-2008-11-30 (22-03-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48405
Laufzeit: 3 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 30.11.2008, 22:07   #8
john.doe
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Reinige die Registry mit CCleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Alt 30.11.2008, 22:16   #9
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

CCleaner habe ich nun auch hinter mich gebracht. Soll ich nun die Prüfungen wieder durchführen?

Gruß josy

Alt 30.11.2008, 22:17   #10
john.doe
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Ist der Eintrag denn noch da? Es ist kein Rootkit, sondern nur ein verwaister Registryeintrag.

Alt 01.12.2008, 01:15   #11
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

ja ist er er ist ein geladener Treiber und aktiv weiterhin im Gerätemanager zu sehen und in der Registry.

lg

Alt 01.12.2008, 18:29   #12
john.doe
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Da du fit genug bist ihn zu finden, bist du auch fit genug ihn von Hand zu entfernen:

1. Systemwiederherstellung deaktivieren
2. Start => Ausführen => regedit => OK
3. [Strg]f
4. LEGACY_PHUNTER[Enter]
5. [Entf] (sollte eine Sicherheitsabfrage kommen, dann Ja klicken)
6. [Pos1]

Jetzt bei 3. wieder anfangen und erst aufhören wenn die Meldung kommt (sinngemäß): Keine weiteren Treffer gefunden.

Neustart, Kontrolle ob Einträge verschwunden sind, falls ja, Systemwiederherstellung aktivieren und neuen Wiederherstellungswert setzen.

Du hast mich mit Titel des Threads in die Irre geführt. Ich war die ganze Zeit auf der Suche nach einer Datei. Die hast du aber schon längst gelöscht, was übrig blieb, sind die verwaisten Registryeinträge.

ciao, andreas

Alt 04.12.2008, 15:55   #13
josy1982
 
Fragwürdige Datei "phunter" - Standard

Fragwürdige Datei "phunter"



Hallo,

danke dir herzlichst. Habe die Schritte befolgt und entfernen können.

Vielen Dank lg josy

Antwort

Themen zu Fragwürdige Datei "phunter"
adobe, antivirus, anzeige, avast, avast!, bho, comodo internet security, dateien, dll, downloader, explorer, google, handel, hijack, hijackthis, internet, internet explorer, internet security, logfile, microsoft, nvidia, programm, rundll, security, software, system, windows, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Fragwürdige Datei "phunter"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Avira meldet TR/Crypt.XPACK.Gen" in Datei "mjcrosoft-windows-hal-events.exe"
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (13)
  3. Windows7: Datei "dwm.exe" im Ordner "iswizard05" lässt sich nicht löschen
    Log-Analyse und Auswertung - 20.02.2014 (19)
  4. Windows 7: Auf Festplattenpartition für Daten befindet sich ein Ordner "SoftwareUpdater" mit einer Datei "SoftwareUpdater.Bootstrapper"
    Plagegeister aller Art und deren Bekämpfung - 10.02.2014 (13)
  5. Windows7 X64: Antivir Fund: "TR/Spy.ZBot.aaop" Meldung: Zugriff auf Datei wurde blockiert. Datei war in E-Mail- Anhang.
    Log-Analyse und Auswertung - 28.11.2013 (9)
  6. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  7. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  8. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  9. BKA Trojaner - habe mit OTLpe txt Datei erstellt - benötige nun eine "FIX-Datei"?
    Log-Analyse und Auswertung - 11.10.2011 (1)
  10. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  11. "Trojan.Vundo-Variant/F" in Datei "C:\Windows\Syswow64\avsredirect.dll" + vorher weitere Schädlinge
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (15)
  12. Virus "Daurso.A" in Datei "svchost.exe"
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (15)
  13. TR/Agent.ruo im Ordner "windows/system32" in der Datei "d3stez.dll"
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (1)
  14. "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 11.05.2009 (31)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Versteckte Datei "kdzqj.exe" in System32 und Reg-Eintrag "System" unter Winlogon
    Plagegeister aller Art und deren Bekämpfung - 25.03.2008 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Fragwürdige Datei "phunter" - Hallo, da ich hier am verzweifeln bin würde ich euch gerne um Hilfe bitte. Es handelt sich über die Datei "phunter". Ich gehe mal star davon aus das es zu - Fragwürdige Datei "phunter"...
Archiv
Du betrachtest: Fragwürdige Datei "phunter" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.