Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hatte Rootkit, PC wieder sauber?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.01.2010, 18:24   #1
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Hallo,

hatte mir einen Rootkit-Virus eingefangen. Hab ihn mit dem Programm "unhackme" entfernt. Würde aber gerne wissen, ob mein PC wirklich wieder sauber ist. Hab mal HijackThis laufen lassen, mit folg. Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:15, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6432 bytes

Alt 08.01.2010, 15:15   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Hallo,

Rootkits sieht man nicht mit "herkömmlichen" Tools wie Hijackthis. Das ist Sinn und Zweck von Rootkits

Poste bitte entsprechende Logfile bzw. den Namen des Rootkits. Mach auch einen Durchgang mit GMER und poste auch das Log.
__________________

__________________

Alt 08.01.2010, 18:39   #3
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Hallo,

wusste garnicht, dass HijackThis ein "herkömmliches" Tool ist. In Foren heißt es ja immer, dass man bei Verdacht auf Virenbefall o.ä. HijackThis laufen lassen soll. Naja, hab jetzt nen Durchlauf mit GMER gemacht. Der Rootkit hieß übrigens "siszyd32". Keine Ahnung, ob das der richtige Name ist, hatte jedenfalls ne "siszyd32.exe" auf dem Rechner.

Und hier das Log von GMER:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-08 19:31:59
Windows 5.1.2600 Service Pack 3
Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7BEA186 ZwCreateKey
SSDT F7BEA17C ZwCreateThread
SSDT F7BEA18B ZwDeleteKey
SSDT F7BEA195 ZwDeleteValueKey
SSDT F7BEA19A ZwLoadKey
SSDT F7BEA168 ZwOpenProcess
SSDT F7BEA16D ZwOpenThread
SSDT F7BEA1A4 ZwReplaceKey
SSDT F7BEA19F ZwRestoreKey
SSDT F7BEA190 ZwSetValueKey
SSDT F7BEA177 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.pak2 C:\WINDOWS\system32\drivers\wkuvah.sys entry point in ".pak2" section [0xF7421168]
? C:\WINDOWS\system32\drivers\wkuvah.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F7247E55 4 Bytes CALL 863BF6F9

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863C8B28

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs A9548400

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] wkuvah <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----
__________________

Alt 10.01.2010, 11:03   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Herkömmlich deswegen, weil es nicht für die Rootkiterkennung konzipiert wurde!
Da ist anscheinend immer noch ein Rootkit aktiv:

Zitat:
.pak2 C:\WINDOWS\system32\drivers\wkuvah.sys entry point in ".pak2" section [0xF7421168]
Service (*** hidden *** ) [BOOT] wkuvah <-- ROOTKIT !!!
Hast Du eine Windows-CD oder Linux-Live-CD am da?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 12:08   #5
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Linux-CD hab ich keine. Was soll ich denn tun?


Alt 10.01.2010, 12:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist



4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/wkuvah.sys um in wkuvah.bad
7. Starte den Rechner neu und boote Windows
8. Die in Linux umbenannte Datei bei Virustotal.com auswerten lassen und Ergebnislink posten
9. Einen neuen Durchlauf mit GMER machen und Log posten
__________________
--> Hatte Rootkit, PC wieder sauber?

Alt 10.01.2010, 14:36   #7
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Hier der Ergebnislink von Virustotal:

Virustotal. MD5: a5e7a32a05af52b5807038a24c8b97e0 Hacktool.Rootkit Rootkit.Kryptic.763904 Rootkit.Agent.AJCN

Und hier das Ergebnis des GMER-Durchlaufs:

GMER 1.0.15.15281 - ***.gmer.net
Rootkit scan 2010-01-10 15:31:24
Windows 5.1.2600 Service Pack 3
Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7C2ECD6 ZwCreateKey
SSDT F7C2ECCC ZwCreateThread
SSDT F7C2ECDB ZwDeleteKey
SSDT F7C2ECE5 ZwDeleteValueKey
SSDT F7C2ECEA ZwLoadKey
SSDT F7C2ECB8 ZwOpenProcess
SSDT F7C2ECBD ZwOpenThread
SSDT F7C2ECF4 ZwReplaceKey
SSDT F7C2ECEF ZwRestoreKey
SSDT F7C2ECE0 ZwSetValueKey
SSDT F7C2ECC7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 24EC 80501D14 4 Bytes JMP 8EF7C2EC

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs A9F8B400

---- EOF - GMER 1.0.15 ----

Alt 10.01.2010, 14:41   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Ah sehr schön, dann hat das Umbenennen ja geklappt!
Die Rootkiteinträge sind im letzten GMER-Log jedenfalls nicht mehr zu sehen

Mach nun mal bitte noch einen vollständigen Durchlauf mit Malwarebytes und poste das Log. Achte auf aktuelle Signaturen.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 18:43   #9
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Puh, das war jetzt ein ganz schönes Geduldspiel:

Während Malwarebytes lief, kam zweimal Virenalarm. Dann kam, nachdem ich die von Malwarebytes gefunden Objekte gelöscht hatte, bei dem notwendigen Neustart ne Rootkitmeldung von "unhackme". Nach einem erneuten Neustart war sie plötzlich wieder weg. Hab dann nochmal GMER laufen lassen. Hier war alles sauber. Anschließend mit Virenscanner System gecheckt, auch kein Fund. Erneut Malwarebytes laufen lassen und es wurden wieder infizierte Objekte gemeldet. Verwirrend ist, dass es sich hier um Registry-Einträge handelt. Und wenn ich die richtig interpretiere, dann sind dies die Disable-Kennungen aus dem Sicherheitscenter. Hab nämlich die Warnmeldungen für Virenscanner und Autom. Updates ausgeschaltet.

Hier mal die Logs der Malwarebytes-Durchläufe:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.01.2010 16:16:51
mbam-log-2010-01-10 (16-16-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201501
Laufzeit: 25 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\wkuvah.bad (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\...\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.01.2010 19:23:45
mbam-log-2010-01-10 (19-23-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 201442
Laufzeit: 24 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Geändert von Chris_R (10.01.2010 um 19:14 Uhr)

Alt 10.01.2010, 20:01   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Und nun bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.01.2010, 21:17   #11
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



So, hier das Log von ComboFix:

ComboFix 10-01-04.01 - ... 10.01.2010 22:03:16.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\flips.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-10 20:47 . 2010-01-10 20:47 -------- d-----w- c:\programme\CCleaner
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-10 14:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\programme\Trend Micro
2010-01-07 17:09 . 2008-04-14 06:52 116736 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-01-07 17:09 . 2008-04-14 06:52 19456 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-01-07 17:09 . 2001-08-18 03:54 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-01-07 17:09 . 2001-08-18 03:55 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-01-07 17:09 . 2001-08-18 03:55 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-01-07 17:09 . 2001-08-18 03:55 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe
2010-01-07 17:07 . 2001-08-17 11:13 19016 -c--a-w- c:\windows\system32\dllcache\w926nd.sys
2010-01-07 17:06 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-07 17:05 . 2001-08-18 03:52 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll
2010-01-07 17:04 . 2001-08-17 11:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys
2010-01-07 17:03 . 2001-08-18 03:54 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll
2010-01-07 17:02 . 2001-08-18 03:54 45568 -c--a-w- c:\windows\system32\dllcache\smb3w.dll
2010-01-07 17:01 . 2001-08-17 11:51 98080 -c--a-w- c:\windows\system32\dllcache\sgiulnt5.sys
2010-01-07 17:00 . 2001-08-18 03:52 62496 -c--a-w- c:\windows\system32\dllcache\s3mtrio.dll
2010-01-07 16:59 . 2001-08-18 03:33 899658 -c--a-w- c:\windows\system32\dllcache\r2mdkxga.sys
2010-01-07 16:58 . 2001-08-17 13:04 92416 -c--a-w- c:\windows\system32\dllcache\phildec.sys
2010-01-07 16:57 . 2001-08-17 13:05 31872 -c--a-w- c:\windows\system32\dllcache\ovce.sys
2010-01-07 16:56 . 2001-08-18 03:26 65406 -c--a-w- c:\windows\system32\dllcache\netflx3.sys
2010-01-07 16:55 . 2008-04-13 23:16 49024 -c--a-w- c:\windows\system32\dllcache\mstape.sys
2010-01-07 16:54 . 2001-08-17 12:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys
2010-01-07 16:53 . 2001-08-18 03:53 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-01-07 16:52 . 2001-08-18 03:53 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll
2010-01-07 16:51 . 2001-08-17 12:28 44863 -c--a-w- c:\windows\system32\dllcache\hsf_soar.sys
2010-01-07 16:50 . 2008-04-13 23:15 19200 -c--a-w- c:\windows\system32\dllcache\hidir.sys
2010-01-07 16:49 . 2001-08-17 11:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys
2010-01-07 16:48 . 2001-08-17 11:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys
2010-01-07 16:47 . 2001-08-18 03:53 112128 -c--a-w- c:\windows\system32\dllcache\dc260usd.dll
2010-01-07 16:46 . 2001-08-17 11:13 46108 -c--a-w- c:\windows\system32\dllcache\cben5.sys
2010-01-07 16:45 . 2001-08-17 11:49 17152 -c--a-w- c:\windows\system32\dllcache\atitunep.sys
2010-01-07 16:44 . 2001-08-18 03:52 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll
2010-01-07 16:44 . 2008-04-14 06:29 2147840 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-01-06 19:00 . 2010-01-06 19:00 -------- d-----w- c:\windows\RestoreSafeDeleted
2010-01-06 18:49 . 2010-01-06 18:49 24416 ----a-w- c:\windows\system32\drivers\regguard.sys
2010-01-06 18:45 . 2010-01-06 18:45 2 --shatr- c:\windows\winstart.bat
2010-01-06 18:45 . 2010-01-06 18:45 35040 ----a-w- c:\windows\system32\Partizan.exe
2010-01-06 18:45 . 2010-01-06 18:45 34760 ----a-w- c:\windows\system32\drivers\Partizan.sys
2010-01-06 18:45 . 2009-12-22 13:38 12752 ----a-w- c:\windows\system32\drivers\UnHackMeDrv.sys
2010-01-06 18:45 . 2010-01-06 18:45 -------- d-----w- c:\programme\UnHackMe
2010-01-06 14:26 . 2006-05-24 12:36 110592 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3\temp\cleanup.exe
2010-01-06 09:58 . 2010-01-08 23:22 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3
2009-12-25 19:10 . 2009-02-18 01:49 58536 ----a-w- c:\windows\system32\drivers\SE1008mdm.sys
2009-12-25 19:10 . 2009-12-25 19:10 -------- d-----w- c:\programme\Sony Ericsson
2009-12-24 23:15 . 2009-12-24 23:15 -------- d-----w- c:\dokumente und einstellungen\...\.dvdcss
2009-12-24 23:14 . 2009-12-24 23:15 -------- d-----w- c:\programme\DVD Audio Extractor
2009-12-21 18:06 . 2009-12-25 19:31 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\vlc
2009-12-21 18:04 . 2009-12-21 18:04 -------- d-----w- c:\programme\VideoLAN
2009-12-21 17:53 . 2009-12-24 23:06 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 15:15 . 2009-10-30 20:51 -------- d-----w- c:\programme\Opera
2009-12-07 21:20 . 2009-10-30 21:36 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 18:45 . 2009-12-03 18:45 162432 ----a-w- c:\windows\system32\drivers\ITHSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 12032 ----a-w- c:\windows\system32\drivers\LILSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 8854 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Uninstall_Fahrenheit_8C2B6FBDC8D14FA595F7B3231B7D8CBC.exe
2009-12-03 18:45 . 2009-12-03 18:45 45056 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_BA10AC78E68745238B93540428FC256F.exe
2009-12-03 18:45 . 2009-12-03 18:45 10134 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\ARPPRODUCTICON.exe
2009-12-03 18:39 . 2009-12-03 18:39 -------- d-----w- c:\programme\Atari
2009-12-03 18:38 . 2009-10-30 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brownie
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brother
2009-12-01 22:19 . 2009-12-01 22:19 34 ----a-w- c:\windows\system32\BD5240.DAT
2009-12-01 22:19 . 2009-10-30 20:32 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-30 21:44 . 2009-11-01 13:48 -------- d-----w- c:\programme\Java
2009-11-30 21:44 . 2009-11-30 21:44 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-30 21:44 . 2009-11-30 21:44 79488 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 17:13 . 2009-11-30 17:13 -------- d-----w- c:\programme\IrfanView
2009-11-24 20:02 . 2009-11-14 15:46 -------- d-----w- c:\programme\AoA Audio Extractor
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\DivX
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-11-17 13:21 . 2009-11-17 13:21 48 ----a-w- c:\windows\wpd99.drv
2009-11-17 13:20 . 2009-10-30 18:24 22200 ----a-w- c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 20:16 . 2009-11-16 20:11 -------- d-----w- c:\programme\A Tale of Two Kingdoms
2009-11-16 20:11 . 2009-11-16 20:11 286720 ----a-w- c:\windows\iun504.exe
2009-11-14 19:25 . 2009-11-14 19:25 286720 ----a-w- c:\windows\iun506.exe
2009-11-14 16:14 . 2009-11-14 16:14 40960 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\LPC210x_ISP.exe_B60B0D3157BA46A8AB5FD037240E063F.exe
2009-11-14 16:14 . 2009-11-14 16:14 151552 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\ARPPRODUCTICON.exe
2009-11-14 16:14 . 2009-11-14 16:14 -------- d-----w- c:\programme\Philips Semiconductors
2009-11-14 14:14 . 2009-11-14 14:14 -------- d-----w- c:\programme\MSECache
2009-11-14 14:13 . 2009-11-14 14:13 77874 ----a-w- c:\windows\system32\pdfmona.dll
2009-11-14 14:13 . 2009-11-14 14:13 45300 ----a-w- c:\windows\system32\pdfmon.dll
2009-11-14 14:04 . 2009-11-14 14:04 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\programme\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ibf
2009-11-14 13:52 . 2009-11-14 13:52 -------- d-----w- c:\programme\Winamp
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-01 13:47 . 2009-11-01 13:47 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2009-10-30 21:19 . 2009-10-30 21:19 0 ----a-w- c:\windows\nsreg.dat
2009-10-30 19:33 . 2009-10-30 18:14 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-30 18:23 . 2008-04-14 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2009-10-30 18:23 . 2008-04-14 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2009-10-30 18:11 . 2009-10-30 18:11 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnHackMe Monitor"="c:\programme\UnHackMe\hackmon.exe" [2009-12-22 594144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SkyTel"="SkyTel.EXE" [2006-06-27 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 16248320]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-30 295606]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 22:36 108289]
S0 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [06.01.2010 19:45 34760]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [06.01.2010 19:49 24416]
S3 SE1008mdm;Sony Ericsson SE1008 Mobile Device Full USB Driver;c:\windows\system32\drivers\SE1008mdm.sys [25.12.2009 20:10 58536]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - UnHackMeDrv
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\rw3hg9qw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 22:06:51
ComboFix-quarantined-files.txt 2010-01-10 21:06

Vor Suchlauf: 22 Verzeichnis(se), 24.618.278.912 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 24.590.880.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 3724254DA90559D657CF3B4B7A45194D

Ich hoffe, es gibt kein Problem, wenn ich die Wiederherstellungskonsole aus dem Systemstart (= Boot.ini) wieder rausschmeiße.

Alt 11.01.2010, 07:43   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Jetzt dürfte es ok sein, das Rootkit ist auch weg. Wie Du siehst ist der zuverlässigste Ausweg bei besonders hartnäckigen Fällen nur noch ein Rettungssystem

Wie verhält sich Dein Rechner nun? Noch Meldungen?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.01.2010, 15:57   #13
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Unhackme meckert nun die Datei "catchme.sys" an. Gehört die zu ComboFix?

Der Rechner läuft schon normal, seit ich "siszyd32" entfernt hab. War mir aber nicht sicher, ob er wieder sauber ist. Naja, wie man sieht, war meine Vorsicht berechtigt. Auf jeden Fall schon mal ganz dickes Dankeschön für die Hilfe.

Alt 11.01.2010, 19:04   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



catchme.exe ist ein Teil von GMER, CF nutzt das aber auch.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 11.01.2010, 20:00   #15
Chris_R
 
Hatte Rootkit, PC wieder sauber? - Standard

Hatte Rootkit, PC wieder sauber?



Zitat:
Zitat von cosinus Beitrag anzeigen
catchme.exe ist ein Teil von GMER, CF nutzt das aber auch.
Gut, dann kann ich ja jetzt wieder ruhig schlafen

Antwort

Themen zu Hatte Rootkit, PC wieder sauber?
adobe, antivir, antivir guard, avira, bho, bonjour, computer, cs3, desktop, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, pdf, pdf-datei, programm, programme, rootkit, server, software, system, windows, windows xp



Ähnliche Themen: Hatte Rootkit, PC wieder sauber?


  1. Hatte Trojaner Aktivität , Ist mein rechner sauber ?
    Log-Analyse und Auswertung - 11.07.2013 (1)
  2. Hatte Exoloit Java/ CVE 2012 und 2013 ist mein PC jetzt sauber?
    Plagegeister aller Art und deren Bekämpfung - 17.04.2013 (17)
  3. Hatte vorgestern auch GVU auf Laptop, inzwischen sauber :-)
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (3)
  4. Hatte GVU-Trojaner, angeblich entfernt, bin unsicher, ob mein System nun sauber ist
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (69)
  5. Avast entdeckte Trojaner und Rootkit,in Container verschoben Laptop sauber?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2011 (3)
  6. System wieder sauber?
    Log-Analyse und Auswertung - 06.01.2011 (3)
  7. habe (hatte) ich einen Rootkit?
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (2)
  8. Hatte den ICQ Virus auf meinen System ist es jetzt wieder Sauber?
    Log-Analyse und Auswertung - 08.06.2010 (1)
  9. Hatte Backddor Trojaner. Jetzt wieder clean?
    Log-Analyse und Auswertung - 25.05.2010 (15)
  10. Ist mein System sauber? (hatte u.a. "flacor.dat"-Meldung)
    Log-Analyse und Auswertung - 14.04.2010 (15)
  11. Hatte Backdoor ---bin ich wieder sauber?
    Log-Analyse und Auswertung - 18.04.2009 (17)
  12. hatte trojaner...wieder alles gut?
    Mülltonne - 29.04.2008 (0)
  13. PC hatte Rootkit endeckt.... Ist er weg?
    Mülltonne - 05.04.2008 (0)
  14. Hab bzw. hatte mal wieder einen Virus
    Mülltonne - 07.12.2007 (0)
  15. hatte smitfaud-c aufgelesen, bin glaube immernoch nicht "sauber"
    Log-Analyse und Auswertung - 25.12.2005 (7)
  16. Hatte Virus Win32.Nsag.b / PC wieder clean?
    Log-Analyse und Auswertung - 14.10.2005 (4)
  17. Log sauber - hatte (oder habe noch) bagle.bb auf System!!
    Log-Analyse und Auswertung - 31.03.2005 (11)

Zum Thema Hatte Rootkit, PC wieder sauber? - Hallo, hatte mir einen Rootkit-Virus eingefangen. Hab ihn mit dem Programm "unhackme" entfernt. Würde aber gerne wissen, ob mein PC wirklich wieder sauber ist. Hab mal HijackThis laufen lassen, mit - Hatte Rootkit, PC wieder sauber?...
Archiv
Du betrachtest: Hatte Rootkit, PC wieder sauber? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.