Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: win32.rootkit.agent - Hilfe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.09.2009, 00:08   #1
mees9
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



Hallo,

vor einer Woche hat sich bei mir Ad-Aware mit dem Hinweis auf installierte Spyware gemeldet - "win32.rootkit.agent" sei entdeckt worden.
Auch nach mehrmaligem scannen und beheben war es nicht möglich den Rootkit zu entfernen, auch Kaspersky führte zu keinem Erfolg.

Ich habe mir daraufhin ComboFix heruntergeladen und im abgesichterten Modus ausgeführt. Start war erst nach Umbenennung möglich, scheinbar hat der Kit den Namen geparst und ein starten verhindert. [Umbenannt auf -a]

Einige Dateien wurden von ComboFix entfernt und ein logfile erstellt, kann mir jemand bzgl. der Analyse helfen, auch wenn dieses Forum eigentlich "HiJackThis" und " Malwarebytes Anti-Malware " empfiehlt. Wenn ja, poste ich es hier oder macht es Sinn "HiJackThis" und " Malwarebytes Anti-Malware " nochmal über das System laufen zu lassen.

Vielen Dank schon im vorraus.

Alt 02.09.2009, 08:57   #2
kira
/// Helfer-Team
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



Hallo und Herzlich Willkommen!

- Poste bitte alle Scanbericht die Du hast (ComboFix usw)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
Achtung!::
gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
  • - also lade Dir Gmer herunter
    - entpacke es auf deinen Desktop
    - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
    - Starte gmer.exe<-hier "umbenannt.com".
    - Achte darauf, dass "Show all" soll nicht angehakt sein! - dann klicke auf "Scan", um das Tool zu starten
    - bitte nichts am Pc machen während der Scan läuft!
    - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
    - mit "Ok" wird GMER beendet.
    - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow
__________________


Alt 02.09.2009, 20:40   #3
mees9
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



Hallo Coverflow,

anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann:

ComboFix:

Code:
ATTFilter
ComboFix 09-09-01.04 - * 01.09.2009 23:23.1.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.511.190 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*\Desktop\-a.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\All Users\Anwendungsdaten\98238766.ini
C:\tj.vbs
c:\xpsp2\run.log
c:\xpsp2\system32\drivers\SKYNETvtdmylkp.sys
c:\xpsp2\system32\drivers\UACevdovdkmdvymetj.sys
c:\xpsp2\system32\SKYNETejewqnpt.dat
c:\xpsp2\system32\SKYNETrghggkal.dat
c:\xpsp2\system32\SKYNETvvtflhsr.dll
c:\xpsp2\system32\SKYNETwubrvafy.dll
c:\xpsp2\system32\UACbwyxsgebnxhvksv.dll
c:\xpsp2\system32\UACcnsplvhxbrnhiqx.dat
c:\xpsp2\system32\UACcxnsswwepxgfque.dll
c:\xpsp2\system32\UACgvurupraxuutron.log
c:\xpsp2\system32\UAChwxpaiycgwhvysk.db
c:\xpsp2\system32\UACimasmqiniwydmxm.log
c:\xpsp2\system32\uacinit.dll
c:\xpsp2\system32\UACltfuoeirpkxwmiy.dll
c:\xpsp2\system32\UACpkbowjkdtbjthte.dll
c:\xpsp2\system32\UACpqqhowiphespyau.dll
c:\xpsp2\system32\UACpubqghnodolwlbn.dll
c:\xpsp2\system32\UACrsypqhrsleblstm.log
c:\xpsp2\system32\uactmp.db

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_SKYNETmvrngowo
-------\Legacy_SKYNETmvrngowo
-------\Service_UACd.sys
-------\Legacy_UACd.sys


(((((((((((((((((((((((   Dateien erstellt von 2009-08-01 bis 2009-09-01  ))))))))))))))))))))))))))))))
.

2009-09-01 21:21 . 2009-09-01 21:22	81952	--sha-w-	c:\xpsp2\system32\drivers\fidbox2.dat
2009-09-01 21:21 . 2009-09-01 21:21	32	--sha-w-	c:\xpsp2\system32\drivers\fidbox.dat
2009-09-01 21:06 . 2009-09-01 21:06	--------	d-sh--w-	c:\dokumente und einstellungen\Administrator\IETldCache
2009-08-16 19:10 . 2009-08-16 19:10	6290	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\14\UpdateFiles\SSE_Patch_14.13.bat

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-01 21:22 . 2009-09-01 21:21	1360	--sha-w-	c:\xpsp2\system32\drivers\fidbox2.idx
2009-09-01 21:21 . 2009-09-01 21:21	32	--sha-w-	c:\xpsp2\system32\drivers\fidbox.idx
2009-09-01 19:44 . 2001-08-18 12:00	395074	----a-w-	c:\xpsp2\system32\perfh007.dat
2009-09-01 19:44 . 2001-08-18 12:00	64994	----a-w-	c:\xpsp2\system32\perfc007.dat
2009-06-16 21:14 . 2009-06-16 21:14	32784	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:14	227344	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-16 21:14 . 2009-06-16 21:14	206088	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-16 21:14 . 2008-01-29 15:29	33808	----a-w-	c:\xpsp2\system32\drivers\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:06	94643	----a-w-	c:\xpsp2\system32\drivers\klick.dat
2009-06-16 21:14 . 2009-06-16 21:06	105395	----a-w-	c:\xpsp2\system32\drivers\klin.dat
2009-06-16 21:14 . 2009-06-16 21:14	33808	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:14	206088	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-16 21:14 . 2009-06-16 21:14	226832	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-15 20:41 . 2009-06-15 20:41	61272	----a-w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-14 15:23 . 2009-06-14 19:04	15688	----a-w-	c:\xpsp2\system32\lsdelete.exe
2009-06-14 15:23 . 2009-06-14 15:23	15688	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-06-14 15:22 . 2009-06-14 15:23	64160	----a-w-	c:\xpsp2\system32\drivers\Lbd.sys
2009-06-14 15:22 . 2009-06-14 15:22	64160	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2004-03-28 16:46 . 2006-06-12 19:31	1340416	----a-w-	c:\programme\mplayerc.exe
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RMClock"="c:\programme\Toolz\rmclock_18_bin\RMClock.exe" [2005-09-23 444928]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-23 335872]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-05 185896]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-07-14 1404928]
"Acrobat Assistant 7.0"="d:\anwendungen\Adobe\Distillr\Acrotray.exe" [2006-01-12 483328]
"GrooveMonitor"="d:\office 2007\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="d:\anwendungen\itunes\iTunesHelper.exe" [2009-04-02 342312]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [1987-12-31 520024]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-16 206088]
"SoundMan"="SOUNDMAN.EXE" - c:\xpsp2\SOUNDMAN.EXE [2002-11-19 46592]
"ATIModeChange"="Ati2mdxx.exe" - c:\xpsp2\system32\Ati2mdxx.exe [2001-09-04 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\xpsp2\system32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\*\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
qlock.lnk - c:\programme\Qlock\qlock.exe [2006-3-20 4070912]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\XPSP2\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"d:\\alte platte\\Anwendungen\\eMule0.47c\\emule.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpznet01.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppapd.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnicifs01.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpntwkexe.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppsetbod.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnac01.exe"=
"c:\\XPSP2\\system32\\spoolsv.exe"=
"d:\\Office 2007\\Office12\\GROOVE.EXE"=
"d:\\Office 2007\\Office12\\ONENOTE.EXE"=
"d:\\Office 2007\\Office12\\OUTLOOK.EXE"=
"d:\\Anwendungen\\firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Anwendungen\\itunes\\iTunes.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 447b;447b;c:\xpsp2\system32\drivers\447b.sys [12.06.2006 21:11 159616]
R0 447s;447s;c:\xpsp2\system32\drivers\447s.sys [12.06.2006 21:11 5248]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\xpsp2\system32\drivers\klbg.sys [29.01.2008 17:29 33808]
R0 Lbd;Lbd;c:\xpsp2\system32\drivers\Lbd.sys [14.06.2009 17:23 64160]
R1 uigxrdr;uigxrdr;c:\xpsp2\system32\drivers\uigxrdr.SYS [08.12.2007 18:49 148864]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 acernbm;acernbm;c:\xpsp2\system32\drivers\acernbm.sys [12.06.2006 22:13 6538]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\xpsp2\system32\drivers\klim5.sys [30.04.2008 17:06 24592]
R3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\xpsp2\system32\drivers\TTCinergyT2.sys [21.04.2007 18:57 16640]
S1 atitray;atitray;\??\c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys --> c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys [?]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\xpsp2\system32\drivers\BRGSp50.sys [17.11.2006 12:42 20608]
S3 GTF32BUS;GT F32 BUS;c:\xpsp2\system32\drivers\gtf32bus.sys [01.03.2006 12:22 32640]
S3 GTPTSER;GT PT SER;c:\xpsp2\system32\drivers\gtptser.sys [01.03.2006 12:22 8064]
S3 GTSCSER;GT SC SER;c:\xpsp2\system32\drivers\gtscser.sys [01.03.2006 12:22 19328]
S3 RTCore32;RTCore32;\??\c:\programme\Toolz\rmclock_18_bin\RTCore32.sys --> c:\programme\Toolz\rmclock_18_bin\RTCore32.sys [?]
S3 ZD1211BU(AirLive);AirLive  WL-5480USB WLAN USB Driver(AirLive);c:\xpsp2\system32\drivers\ZD1211BU.sys [17.11.2006 12:42 402432]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\xpsp2\system32\rundll32.exe" "c:\xpsp2\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners

2009-06-14 c:\xpsp2\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 23:35]

2009-09-01 c:\xpsp2\Tasks\WGASetup.job
- c:\xpsp2\system32\KB905474\wgasetup.exe [2009-04-08 20:18]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-net - c:\xpsp2\system32\net.net
HKLM-Run-net - c:\xpsp2\system32\net.net
HKLM-Run-AcerNotebookManager - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse
uInternet Settings,ProxyOverride = *.local
IE: Convert link target to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - d:\office 2007\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\ss25fhik.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: d:\anwendungen\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\anwendungen\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\anwendungen\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\anwendungen\firefox\plugins\np-mswmp.dll
FF - plugin: d:\anwendungen\firefox\plugins\NPTURNMED.dll
FF - plugin: d:\anwendungen\itunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-01 23:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
Zeit der Fertigstellung: 2009-09-01 23:31
ComboFix-quarantined-files.txt  2009-09-01 21:31

Vor Suchlauf: 302.874.624 Bytes frei
Nach Suchlauf: 289.431.552 Bytes frei

198	--- E O F ---	1987-12-31 23:00
         
Vielen Dank schon einmal im vorraus - Grüße
__________________

Alt 02.09.2009, 20:42   #4
mees9
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



HHallo Coverflow,

anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann:


HijackThis 2.0.2

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:00:46, on 02.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\XPSP2\System32\smss.exe
C:\XPSP2\system32\winlogon.exe
C:\XPSP2\system32\services.exe
C:\XPSP2\system32\lsass.exe
C:\XPSP2\system32\Ati2evxx.exe
C:\XPSP2\system32\svchost.exe
C:\XPSP2\System32\svchost.exe
C:\XPSP2\system32\spoolsv.exe
C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\XPSP2\system32\svchost.exe
C:\XPSP2\system32\wscntfy.exe
C:\XPSP2\system32\WgaTray.exe
C:\XPSP2\Explorer.EXE
C:\XPSP2\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
D:\Anwendungen\Adobe\Distillr\Acrotray.exe
D:\Office 2007\Office12\GrooveMonitor.exe
D:\Anwendungen\itunes\iTunesHelper.exe
C:\Programme\Toolz\rmclock_18_bin\RMClock.exe
C:\XPSP2\system32\ctfmon.exe
C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe
C:\Programme\Qlock\qlock.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Office 2007\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Anwendungen\Adobe\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Office 2007\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Anwendungen\itunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [RMClock] C:\Programme\Toolz\rmclock_18_bin\RMClock.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\XPSP2\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: qlock.lnk = C:\Programme\Qlock\qlock.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: AirLive WL-5480USB WLAN USB Utility.lnk = C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Office 2007\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/beta/SP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156930109944
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Office 2007\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\XPSP2\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe

--
End of file - 8921 bytes
         
Vielen Dank schon einmal im vorraus - Grüße

Alt 02.09.2009, 20:44   #5
mees9
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



Hallo Coverflow,

anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann:


Filelist:

Code:
ATTFilter
----- Root ----------------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\

02.09.2009  20:03                43 filelist.txt
02.09.2009  19:24       535.875.584 hiberfil.sys
02.09.2009  19:24            11.415 aaw7boot.log
01.09.2009  23:31            14.127 ComboFix.txt
              15 Datei(en)    536.205.867 Bytes
               0 Verzeichnis(se),    277.254.144 Bytes frei
 
----- Windows -------------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2

02.09.2009  19:24               159 wiadebug.log
02.09.2009  19:24                50 wiaservc.log
02.09.2009  19:24                 0 0.log
02.09.2009  19:24             2.048 bootstat.dat
02.09.2009  01:31            32.598 SchedLgU.Txt
02.09.2009  01:31         1.906.843 WindowsUpdate.log
01.09.2009  23:29               227 system.ini
01.09.2009  23:21           413.665 setupapi.log
01.09.2009  23:19         5.706.794 ntbtlog.txt
01.09.2009  23:01             7.521 KB971633.log
01.09.2009  23:01             7.480 KB973507.log
01.09.2009  23:01             7.028 KB973815.log
01.09.2009  23:01             6.616 KB971032.log
01.09.2009  23:01             5.481 KB960859.log
01.09.2009  23:01             5.416 KB961371-v2.log
01.09.2009  23:01             5.282 KB971657.log
01.09.2009  23:01             5.179 KB971557.log
23.08.2009  03:09           229.376 PEV.exe
16.06.2009  22:43            11.929 spupdsvc.log
16.06.2009  22:40            31.022 ie8_main.log
16.06.2009  22:40             1.374 imsins.BAK
16.06.2009  22:40            47.676 ie8.log
11.06.2009  22:36            16.668 KB961501.log
11.06.2009  22:36            27.249 KB969897.log
11.06.2009  22:34             7.600 KB969898.log
11.06.2009  22:28            13.968 KB970238.log
11.06.2009  22:28            13.374 KB968537.log
11.06.2009  22:25            18.928 ModemLog_GlobeTrotter 3G+ Modem Interface.txt
03.06.2009  22:50               155 winamp.ini
06.05.2009  20:41           202.084 setupact.log
20.04.2009  22:36            25.985 KB956572.log
20.04.2009  22:34            33.596 KB963027.log
20.04.2009  22:20                37 vbaddin.ini
20.04.2009  12:56            31.232 NIRCMD.exe
18.04.2009  04:10            22.821 KB959426.log
18.04.2009  04:10            24.766 KB952004.log
17.04.2009  20:34            13.034 KB961373.log
17.04.2009  20:25            13.462 KB960803.log
11.03.2009  23:40            12.898 KB960225.log
11.03.2009  23:39            13.123 KB958690.log
25.02.2009  23:39            13.134 KB967715.log
10.02.2009  22:35             6.033 KB960715.log
14.01.2009  00:26             8.312 KB958687.log
             205 Datei(en)     22.152.974 Bytes
               0 Verzeichnis(se),    277.229.568 Bytes frei
 
----- System  --- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2\system

04.08.2004  00:58           146.944 WINSPOOL.DRV
04.08.2004  00:37            69.632 MMSYSTEM.DLL
21.11.2002  09:07           765.952 crlds3d.dll
18.08.2001  14:00             2.000 KEYBOARD.DRV
18.08.2001  14:00           109.504 AVIFILE.DLL
18.08.2001  14:00            73.760 MCIAVI.DRV
18.08.2001  14:00            25.296 MCISEQ.DRV
18.08.2001  14:00            28.160 MCIWAVE.DRV
              30 Datei(en)      1.988.667 Bytes
               0 Verzeichnis(se),    277.229.568 Bytes frei
 
----- System 32 (Achtung: Zeitfenster beachten!) --- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2\system32

02.09.2009  19:52             2.206 wpa.dbl
02.09.2009  00:31           401.408 CF12180.exe
01.09.2009  21:44           383.588 perfh009.dat
01.09.2009  21:44            53.942 perfc009.dat
01.09.2009  21:44           395.074 perfh007.dat
01.09.2009  21:44            64.994 perfc007.dat
01.09.2009  21:44           906.552 PerfStringBackup.INI
14.06.2009  17:23            15.688 lsdelete.exe
12.06.2009  22:13           257.456 FNTCACHE.DAT
01.06.2009  18:51        23.635.392 MRT.exe
13.05.2009  07:02           915.456 wininet.dll
13.05.2009  07:02         5.936.128 mshtml.dll
07.05.2009  17:42           346.624 localspl.dll
30.04.2009  23:13         1.985.024 iertutil.dll
30.04.2009  23:13        11.064.832 ieframe.dll
30.04.2009  23:12            25.600 jsproxy.dll
30.04.2009  23:12         1.207.808 urlmon.dll
30.04.2009  23:12         1.469.440 inetcpl.cpl
30.04.2009  23:12           385.536 iedkcs32.dll
30.04.2009  13:21           173.056 ie4uinit.exe
29.04.2009  06:51         1.023.488 browseui.dll
29.04.2009  06:51           474.624 shlwapi.dll
29.04.2009  06:51         1.495.552 shdocvw.dll
29.04.2009  06:51         1.056.256 danim.dll
29.04.2009  06:51            55.808 extmgr.dll
29.04.2009  06:51           152.064 cdfview.dll
27.04.2009  11:48           374.272 xpsp3res.dll
19.04.2009  22:06         1.846.784 win32k.sys
15.04.2009  17:11           584.192 rpcrt4.dll
21.03.2009  16:20         1.059.840 kernel32.dll
08.03.2009  14:29         1.302.528 ieframe.dll.mui
08.03.2009  14:29            57.344 msrating.dll.mui
08.03.2009  14:28             2.560 mshta.exe.mui
08.03.2009  14:27             4.096 ie4uinit.exe.mui
08.03.2009  14:27            12.288 advpack.dll.mui
08.03.2009  14:27            81.920 iedkcs32.dll.mui
08.03.2009  04:35           385.024 html.iec
08.03.2009  04:34           208.384 WinFXDocObj.exe
08.03.2009  04:34           236.544 webcheck.dll
08.03.2009  04:34            43.008 licmgr10.dll
08.03.2009  04:34           105.984 url.dll
08.03.2009  04:34           193.536 msrating.dll
08.03.2009  04:34           109.568 occache.dll
08.03.2009  04:33            18.944 corpol.dll
08.03.2009  04:33           726.528 jscript.dll
08.03.2009  04:33           229.376 ieaksie.dll
08.03.2009  04:33           420.352 vbscript.dll
08.03.2009  04:33           125.952 ieakeng.dll
08.03.2009  04:32            72.704 admparse.dll
08.03.2009  04:32           163.840 ieakui.dll
08.03.2009  04:32            36.864 ieudinit.exe
08.03.2009  04:32            55.808 iernonce.dll
08.03.2009  04:32            71.680 iesetup.dll
08.03.2009  04:32           128.512 advpack.dll
08.03.2009  04:32            94.720 inseng.dll
08.03.2009  04:32           594.432 msfeeds.dll
08.03.2009  04:32           611.840 mstime.dll
08.03.2009  04:31           183.808 iepeers.dll
08.03.2009  04:31            13.312 msfeedssync.exe
08.03.2009  04:31            59.904 icardie.dll
08.03.2009  04:31            55.296 msfeedsbs.dll
08.03.2009  04:31           348.160 dxtmsft.dll
08.03.2009  04:31           216.064 dxtrans.dll
08.03.2009  04:31            34.816 imgutil.dll
08.03.2009  04:31            46.592 pngfilt.dll
08.03.2009  04:31            66.560 mshtmled.dll
08.03.2009  04:31            48.128 mshtmler.dll
08.03.2009  04:31            45.568 mshta.exe
08.03.2009  04:31         1.638.912 mshtml.tlb
08.03.2009  04:30            66.560 tdc.ocx
08.03.2009  04:22           164.352 ieui.dll
08.03.2009  04:22           156.160 msls31.dll
08.03.2009  04:15            57.667 ieuinit.inf
08.03.2009  04:11           445.952 ieapfltr.dll
06.03.2009  16:44           286.208 pdh.dll
12.02.2009  22:20             6.873 IE8Eula.rtf
09.02.2009  13:47         2.182.784 ntoskrnl.exe
09.02.2009  13:47         2.060.032 ntkrnlpa.exe
09.02.2009  12:18           731.136 lsasrv.dll
09.02.2009  12:18           677.888 advapi32.dll
09.02.2009  12:18           399.360 rpcss.dll
09.02.2009  12:18           740.352 ntdll.dll
09.02.2009  12:04           111.104 services.exe
06.02.2009  21:07         3.698.584 ieapfltr.dat
06.02.2009  18:54            35.328 sc.exe
03.02.2009  22:08            55.808 secur32.dll

            2068 Datei(en)    420.215.192 Bytes
               0 Verzeichnis(se),    277.049.344 Bytes frei
 
----- Prefetch ------------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2\Prefetch

02.09.2009  20:03            11.378 FIND.EXE-2E228A47.pf
02.09.2009  20:03            24.188 CMD.EXE-1657040F.pf
02.09.2009  20:03            16.470 NOTEPAD.EXE-2D6A6209.pf
02.09.2009  20:02            31.212 REALPLAY.EXE-39F79CBD.pf
02.09.2009  20:01            34.916 WINRAR.EXE-3588DFE8.pf
02.09.2009  20:00            54.790 HIJACKTHIS.EXE-39024128.pf
02.09.2009  20:00            14.830 HJTINSTALL.EXE-2A51536A.pf
02.09.2009  19:59            36.422 WMIPRVSE.EXE-06C7A357.pf
02.09.2009  19:54            18.858 VERCLSID.EXE-3A036B52.pf
02.09.2009  19:54            16.964 TASKMGR.EXE-07D74BEB.pf
02.09.2009  19:53            29.344 RUNDLL32.EXE-590F9A09.pf
02.09.2009  19:53            12.444 RUNDLL32.EXE-5D7F05D7.pf
02.09.2009  19:53            33.664 RUNDLL32.EXE-4B1466CC.pf
02.09.2009  19:53            27.976 CONTROL.EXE-2670A960.pf
02.09.2009  19:53            17.700 AAWSERVICE.EXE-1E1DE6D1.pf
02.09.2009  19:52            22.906 IPODSERVICE.EXE-233792DA.pf
02.09.2009  19:52            32.246 QLOCK.EXE-16D2A76E.pf
02.09.2009  19:52            24.558 WLANUTIL.EXE-018BF92E.pf
02.09.2009  19:52            21.516 CTFMON.EXE-1008679D.pf
02.09.2009  19:52            14.714 RMCLOCK.EXE-38718294.pf
02.09.2009  19:52            18.282 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
02.09.2009  19:52            14.726 ITUNESHELPER.EXE-1A970BEF.pf
02.09.2009  19:52            17.030 APPLESYNCNOTIFIER.EXE-0DCBD908.pf
02.09.2009  19:52            20.794 GROOVEMONITOR.EXE-08D3C5E7.pf
02.09.2009  19:52            13.950 ACROTRAY.EXE-25EE85AE.pf
02.09.2009  19:52            22.272 TTTVRC.EXE-2943AAD5.pf
02.09.2009  19:52            33.042 REALSCHED.EXE-0A2A7558.pf
02.09.2009  19:52            20.586 ATIPTAXX.EXE-12B5048A.pf
02.09.2009  19:52            11.210 SOUNDMAN.EXE-2A346666.pf
02.09.2009  19:52            22.540 IMAPI.EXE-12235F76.pf
02.09.2009  19:52            19.898 SETUP.EXE-03060512.pf
02.09.2009  19:52             4.688 ATI2MDXX.EXE-19517CAA.pf
02.09.2009  19:52            20.244 WGASETUP.EXE-138750B5.pf
02.09.2009  19:52            40.412 WGATRAY.EXE-165F5DBE.pf
02.09.2009  19:52            98.816 EXPLORER.EXE-0890D389.pf
02.09.2009  19:52             9.552 WSCNTFY.EXE-0CD7C255.pf
02.09.2009  19:52            19.004 USERINIT.EXE-18523E29.pf
02.09.2009  19:51            14.310 MPNOTIFY.EXE-3A398095.pf
02.09.2009  19:42            60.324 DFRGNTFS.EXE-0E36F6F5.pf
02.09.2009  19:42            26.032 DEFRAG.EXE-292FE420.pf
02.09.2009  19:42           388.434 Layout.ini
02.09.2009  19:36            29.104 LOGON.SCR-1B4B19BC.pf
02.09.2009  01:31            26.056 LOGONUI.EXE-1A40C054.pf
02.09.2009  01:16            33.894 THREATWORK.EXE-2CC668FF.pf
02.09.2009  01:16            33.928 AD-AWAREADMIN.EXE-1618EEEB.pf
02.09.2009  00:34            90.276 FIREFOX.EXE-31CB2868.pf
02.09.2009  00:32            23.208 SORT.EXE-02F086A2.pf
02.09.2009  00:32            45.548 CSCRIPT.EXE-05BE37B0.pf
02.09.2009  00:31            29.662 RUNONCE.EXE-3B938FB0.pf
02.09.2009  00:03            68.166 AD-AWARE.EXE-2B8B58D1.pf
01.09.2009  23:00            27.882 WUAUCLT.EXE-29FCF3D5.pf
01.09.2009  21:47            31.330 REGSVR32.EXE-0EE160A5.pf
01.09.2009  21:47            21.122 AAWTRAY.EXE-31E33C30.pf
01.09.2009  21:46            95.818 CIDAEMON.EXE-2C4B757A.pf
28.07.2009  17:56            12.912 DUMPREP.EXE-04DF18A5.pf
15.06.2009  23:57            61.672 ACROBATINFO.EXE-2199B043.pf
15.06.2009  23:57           112.242 ACROBAT.EXE-18DB1B67.pf
14.06.2009  12:13            72.146 SKYPEPM.EXE-03F1BFBD.pf
12.06.2006  21:29           415.396 NTOSBOOT-B00DFAAD.pf
              59 Datei(en)      2.623.604 Bytes
               0 Verzeichnis(se),    277.127.168 Bytes frei
 
----- Tasks ---------------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2\tasks

02.09.2009  19:53               256 WGASetup.job
02.09.2009  19:24                 6 SA.DAT
14.06.2009  17:26               458 Ad-Aware Update (Weekly).job
18.08.2001  14:00                65 desktop.ini
               4 Datei(en)            785 Bytes
               0 Verzeichnis(se),    277.127.168 Bytes frei
 
----- Windows/Temp ----------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\XPSP2\Temp

 
----- Temp ----------------------------- 
 Datenträger in Laufwerk C: ist System
 Volumeseriennummer: 80DA-0B2E

 Verzeichnis von C:\DOKUME~1\*\LOKALE~1\Temp

02.09.2009  01:26            16.384 ~DFE04D.tmp
01.09.2009  23:49            14.055 log.txt
               2 Datei(en)         30.439 Bytes
               0 Verzeichnis(se),    277.123.072 Bytes frei
         
Vielen Dank schon einmal im vorraus - Grüße


Alt 02.09.2009, 20:45   #6
mees9
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



Hallo Coverflow,

anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann:

CCleaner:
Code:
ATTFilter
AAVUpdateManager
Acer Notebook Manager
Ad-Aware
Ad-Aware SE Personal
Adobe Acrobat 7.0.9 Professional
Adobe Flash Player 10 Plugin
AFPL Ghostscript 8.53
AFPL Ghostscript Fonts
Agere Systems AC'97 Modem
AirLive WL-5480USB WLAN USB Adapter
Apple Mobile Device Support
Apple Software Update
Arena 7.01
ATI Display Driver
Bibliographix 6.1.04
Bonjour
Canon CanoScan Toolbox 4.5
CCleaner (remove only)
CIB pdf brewer 1.0.44
Cinergy Digital 2
DAEMON Tools
DivX Codec
DivX Converter
DivX Player
DivX Web Player
GlobeTrotter Mobility Manager
GMX Upload-Manager
GSview 4.8
HijackThis 2.0.2
ISI ResearchSoft - Export Helper
iTunes
iTunes Art Importer
J2SE Runtime Environment 5.0 Update 6
K-Lite Codec Pack 2.81 Standard
Kaspersky Anti-Virus 2009
MetaFrame Presentation Server Client
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office Enterprise 2007
Microsoft Outlook-Sicherung für Persönliche Ordner
Microsoft Visual C++ 2005 Redistributable
MobileMe Control Panel
Monkey's Audio
MozBackup 1.4.2
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MultiRes (remove only)
Octoshape add-in for Adobe Flash Player
Picasa 2
Qlock Lite
QuickTime
RadLight MPC DirectShow Filter (remove only)
RealPlayer
Skype™ 3.8
TBS WMP Plug-in
Trillian
VideoLAN VLC media player 0.8.5
VPN Client
Winamp (remove only)
Windows Internet Explorer 8
Windows Media Player Firefox Plugin
WinRAR
         
Und GMER:

Code:
ATTFilter
GMER 1.0.15.15077 [umbenannt.com] - http://www.gmer.net
Rootkit scan 2009-09-02 20:17:59
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwAdjustPrivilegesToken [0xB2C561DA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwClose [0xB2C567AE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwConnectPort [0xB2C581EA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwCreateFile [0xB2C57B9C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwCreateKey [0xB2C55950]
SSDT            447b.sys (Plug and Play BIOS Extension/ )                                                                    ZwCreatePagingFile [0xF8649C70]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwCreateSymbolicLinkObject [0xB2C59B7C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwCreateThread [0xB2C565AE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwDeleteKey [0xB2C55D92]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwDeleteValueKey [0xB2C55F92]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwDeviceIoControlFile [0xB2C57EAC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwDuplicateObject [0xB2C5A084]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwEnumerateKey [0xB2C560A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwEnumerateValueKey [0xB2C56110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwFsControlFile [0xB2C57D5E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwLoadDriver [0xB2C59620]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwOpenFile [0xB2C579F8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwOpenKey [0xB2C55AB2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwOpenProcess [0xB2C563B2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwOpenSection [0xB2C59BA6]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwOpenThread [0xB2C562FE]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwQueryKey [0xB2C56178]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwQueryMultipleValueKey [0xB2C55E7C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwQueryValueKey [0xB2C55C5A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwQueueApcThread [0xB2C59888]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwReplaceKey [0xB2C555D2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwRequestWaitReplyPort [0xB2C58A74]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwRestoreKey [0xB2C55734]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwResumeThread [0xB2C59F56]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSaveKey [0xB2C553D0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSecureConnectPort [0xB2C5808C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSetContextThread [0xB2C566AC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSetSecurityObject [0xB2C5971A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSetSystemInformation [0xB2C59BD0]
SSDT            447b.sys (Plug and Play BIOS Extension/ )                                                                    ZwSetSystemPowerState [0xF86554F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSetValueKey [0xB2C55B08]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSuspendProcess [0xB2C59CB4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSuspendThread [0xB2C59DE0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwSystemDebugControl [0xB2C5954C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwTerminateProcess [0xB2C5647E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          ZwWriteVirtualMemory [0xB2C564F0]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                          IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!_abnormal_termination + C8                                                                      804E2724 4 Bytes  JMP F2B2C581 
.text           ntoskrnl.exe!_abnormal_termination + 440                                                                     804E2A9C 12 Bytes  [B4, 9C, C5, B2, E0, 9D, C5, ...]
.text           ntoskrnl.exe!IoIsOperationSynchronous                                                                        804E8752 5 Bytes  JMP B2C6D9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntoskrnl.exe!FsRtlCheckLockForReadAccess                                                                     80503C29 5 Bytes  JMP B2C6D626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
?               C:\Programme\Toolz\rmclock_18_bin\RTCore32.sys                                                               Das System kann die angegebene Datei nicht finden. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]                                          [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                                      [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]                                          [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                                      [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]                                          [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]                                         [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]                                            [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]                                        [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]                                          [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]                                         [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]                                           [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]                                           [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\irda.sys[ntoskrnl.exe!IoCreateDevice]                                           [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]                                        [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]                                         [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]                                         [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]                                            [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]                                         [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]                                       [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\Explorer.EXE [KERNEL32.dll!GetProcAddress]                            [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                     [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                     [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                     [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                   [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                     [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                    [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT             C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                      [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device                                                                                                                       Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device                                                                                                                       82F2D260

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                     kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \Driver\Cdrom \Device\CdRom0                                                                                 82A268A0
Device          \FileSystem\Rdbss \Device\FsWrap                                                                             82A57CA0
Device          \Driver\Cdrom \Device\CdRom1                                                                                 82A268A0
Device          \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                  82DC6008
Device          \Driver\atapi \Device\Ide\IdePort0                                                                           82DC6008
Device          \Driver\atapi \Device\Ide\IdePort1                                                                           82DC6008
Device          \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                                                                  82DC6008
Device          \FileSystem\Srv \Device\LanmanServer                                                                         8265E5E8

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                    kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                  kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

Device          \FileSystem\uigxrdr \Device\GMXMiniRdr                                                                       82DC3DD0
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                            82A65C30
Device                                                                                                                       mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device                                                                                                                       82A65C30
Device          \FileSystem\Npfs \Device\NamedPipe                                                                           82B44E30
Device          \FileSystem\Msfs \Device\Mailslot                                                                            82B4CDC8
Device          \Driver\d347prt \Device\Scsi\d347prt1Port3Path0Target0Lun0                                                   82D08B58
Device          \Driver\d347prt \Device\Scsi\d347prt1                                                                        82D08B58
Device          \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer                                                           82A6BAE8
Device          \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer                                                            82A6BAE8
Device          \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer                                                                82A6BAE8
Device          \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer                                                             82A6BAE8
Device          \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer                                                            82A6BAE8
Device                                                                                                                       Cdfs.SYS (CD-ROM File System Driver/Microsoft Corporation)
Device                                                                                                                       82B94B38

---- Modules - GMER 1.0.15 ----

Module          _________                                                                                                    F858D000-F85A5000 (98304 bytes)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40                                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ujdew                                              0x20 0x02 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej40                                             0xBC 0x22 0xA5 0x20 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej41                                             0x2A 0x22 0xA5 0x20 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej42                                             0x2A 0x22 0xA5 0x20 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej43                                             0x2A 0x22 0xA5 0x20 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej44                                             0x2A 0x22 0xA5 0x20 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40                                                     
Reg             HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName  Alcohol 120%
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout                           15
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota                              10000
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                                            yes
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                                           
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout                           90
Reg             HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota                             10000
Reg             HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName                        Alcohol 120%

---- EOF - GMER 1.0.15 ----
         
Vielen Dank schon einmal im vorraus - Grüße

Alt 02.09.2009, 22:25   #7
kira
/// Helfer-Team
 
win32.rootkit.agent - Hilfe - Standard

win32.rootkit.agent - Hilfe



hi

Zitat:
Zitat von mees9 Beitrag anzeigen
Wenn ja, poste ich es hier oder macht es Sinn "HiJackThis" und " Malwarebytes Anti-Malware " nochmal über das System laufen zu lassen.
- hast Du ein Log von Malwarebytes auch?

1.
- den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw
- Entferne Gmer
- CombiFix entfernen:
Start --> Ausführen -->Kopiere rein Combofix /u --> OK
Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren
oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren

2.
- Falls noch nicht getan hast (ansonsten updaten -> erneut laufen lassen-> Log posten):
- Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
  • Installieren und per Doppelklick starten.
  • Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
  • "Komplett Scan durchführen" wählen (überall Haken setzen)
  • wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
  • alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
  • Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"
eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

3.
alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren
**Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
  • Start → ausführen "cleanmgr" reinschreiben ohne "" → "ok" - die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) muss geleert werden→ "Ok"
  • [b]Start → ausführen → %temp% reinschreiben ohne ""→ "Ok"
  • für jedes Benutzerkonto bitte durchführen
  • anschließend den Papierkorb leeren
- Ordnerinhalt überall markieren und löschen

4.
reinige dein System mit Ccleaner:
  • "Cleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
  • "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
  • Starte dein System neu auf

5.
  • lade Dir SUPERAntiSpyware FREE Edition herunter.
  • installiere das Programm und update online.
  • starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
  • setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
  • anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
  • auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
  • um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
  • drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

Antwort

Themen zu win32.rootkit.agent - Hilfe
ad-aware, analyse, anti-malware, combofix, dateien, entdeck, entfernen, entfernt, erstellt, forum, hijack, hijackthis, kaspersky, logfile, malwarebytes, malwarebytes anti-malware, modus, namen, nicht möglich, scan, scannen, spyware, start, starten, system, win



Ähnliche Themen: win32.rootkit.agent - Hilfe


  1. Rootkit.Win32.Agent.pp.
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  2. HILFE! Rootkit.win32.tdss.d kann nicht gelöscht werden und friert alles ein!
    Plagegeister aller Art und deren Bekämpfung - 01.06.2010 (1)
  3. rootkit.win32.agent.besn und mehr im system32
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (20)
  4. HILFE bitte ich drehe durch !!!!!!! .... Virus Rootkit Win32.TDSS.d
    Plagegeister aller Art und deren Bekämpfung - 12.05.2010 (10)
  5. Rootkit.Win32.Agent.besn in system32\drivers\aec.sys / syspck32 im Autostart
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (8)
  6. TROJANER meldet ständig über Pop-Up "rootkit win32 Agent pp"
    Log-Analyse und Auswertung - 08.12.2009 (1)
  7. Win32/Rootkit.Agent.ODG weiterhin nicht zu erwischen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (21)
  8. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  9. Win32/Rootkit.Agent.ODG Trojaner --- wie bekomm ich den weg?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (3)
  10. Win32/Rootkit.Agent.Odg entfernt - Überprüfung des HJT-Logs
    Log-Analyse und Auswertung - 05.07.2009 (1)
  11. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  12. HILFE zu Win32:Rootkit-gen [Rtk] !!!!!!!!!!
    Mülltonne - 08.12.2008 (0)
  13. Probleme mit Tr/win32.Tiny.h Tr/Win32.Agent.bq! Hilfe
    Mülltonne - 02.10.2008 (0)
  14. Rootkit.Win32.Agent.p
    Log-Analyse und Auswertung - 23.11.2007 (42)
  15. REMON.SYS TROJAN Rootkit.Agent.AB lässt sich nicht entfernen HILFE !!!
    Plagegeister aller Art und deren Bekämpfung - 14.11.2005 (1)
  16. Rootkit.Win32.Agent.q....bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema win32.rootkit.agent - Hilfe - Hallo, vor einer Woche hat sich bei mir Ad-Aware mit dem Hinweis auf installierte Spyware gemeldet - "win32.rootkit.agent" sei entdeckt worden. Auch nach mehrmaligem scannen und beheben war es nicht - win32.rootkit.agent - Hilfe...
Archiv
Du betrachtest: win32.rootkit.agent - Hilfe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.