| |
| |||||||
Log-Analyse und Auswertung: Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
22.02.2010, 21:58
| #16 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?Zitat:
 Bitte wieder den Ergebnislink posten. Danach: Combofix - Scripten 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein. Code:
ATTFilter http://www.trojaner-board.de/83140-ist-tr-rootkit-gen-ein-rootkit-oder-nicht.html
Collect::
c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat
Driver::
SSPORT
esihdrv
4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. (Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !) 5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.  6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
22.02.2010, 22:02
| #17 |
 | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Erster Teil:
__________________"c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat" : http://www.virustotal.com/de/analisis/decd8f885000910ab05ca3b81dc28e7b00f5f8d150aad87f9f7439ffed8341ee-1266872459 |
|
22.02.2010, 22:16
| #18 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Wenn ich die "CFScript.txt" aufs Combofix ziehe, startet dieser zwar, bringt aber die Meldung, dass der "Realtime-Scanner" von Antivir noch läuft, is aber deaktiviert.
__________________Seit dem ersten Combofix-Run ist das Symbol in der Desktop-leiste (unten rechts) auch verschwunden, normal is ja eins da mit Regenschirm auf, oder zu... Ich weiß nicht was noch aktiv sein soll. Über strg+alt+entf. läuft noch die avguard.exe, die lässt sich aber nicht beenden "Zugriff verweigert" (trotz admin.-anmeldung) Combofix warnt davor mit av-guard zusammen zu laufen...was soll ich tun?? |
|
22.02.2010, 22:21
| #19 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Hattest Du zwischendurch mal neu gestartet? Wenn nciht mach das mal. Beim Scripten mit CF solltest Du den Regenschirm dann schließen, dann sollte es auch trotz Warnung ok sein, hatte ich hier schon öfter...
__________________ Logfiles bitte immer in CODE-Tags posten |
|
22.02.2010, 22:47
| #20 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? So, Combofix-Script-Logfile: ComboFix 10-02-21.02 - FUJITSU SIEMENS 22.02.2010 22:30:08.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.991.670 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\cofi.exe Benutzte Befehlsschalter :: c:\dokumente und einstellungen\FUJITSU SIEMENS\Desktop\CFScript.txt AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} file zipped: c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\cqfyto.dat . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_ESIHDRV -------\Service_esihdrv -------\Service_SSPORT ((((((((((((((((((((((( Dateien erstellt von 2010-01-22 bis 2010-02-22 )))))))))))))))))))))))))))))) . 2010-02-22 16:37 . 2010-02-22 18:09 -------- d-----w- C:\rsit 2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Malwarebytes 2010-02-22 16:29 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-22 16:29 . 2010-02-22 16:29 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-02-22 16:29 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-20 21:40 . 2010-02-20 21:40 -------- d-----w- c:\programme\Trend Micro 2010-02-20 12:23 . 2010-02-20 12:23 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-02-19 23:27 . 2010-02-19 23:27 -------- d-----w- c:\dokumente und einstellungen\Allgemein\Lokale Einstellungen\Anwendungsdaten\Nokia 2010-02-19 22:18 . 2010-02-19 22:18 -------- d-----w- c:\windows\system32\wbem\Repository 2010-02-19 22:17 . 2010-02-19 22:17 -------- d-----w- c:\programme\Security 2010-02-19 19:31 . 2010-02-19 19:31 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla 2010-02-19 19:30 . 2010-02-19 21:27 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Adobe 2010-02-19 19:10 . 2010-02-19 19:10 664 ----a-w- c:\windows\system32\d3d9caps.dat 2010-02-19 19:08 . 2010-02-22 20:40 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen 2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Vorlagen 2010-02-19 19:08 . 2010-02-19 22:18 -------- d-----w- c:\dokumente und einstellungen\Administrator\Anwendungsdaten 2010-02-19 19:08 . 2010-02-19 22:17 -------- d-----w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft 2010-02-19 19:08 . 2010-02-19 22:18 -------- d-s---w- c:\dokumente und einstellungen\Administrator 2010-01-29 10:02 . 2010-01-29 10:01 411368 ----a-w- c:\windows\system32\deploytk.dll 2010-01-29 09:56 . 2010-01-29 09:57 -------- d-----w- c:\programme\QuickTime 2010-01-27 09:41 . 2010-01-27 09:41 -------- d-----r- c:\dokumente und einstellungen\FUJITSU SIEMENS\Favoriten 2010-01-26 22:01 . 2010-01-26 22:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-22 16:36 . 2009-10-11 22:51 -------- d-----w- c:\programme\Sicherheit 2010-02-20 18:11 . 2009-12-02 18:13 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2010-02-10 13:10 . 2008-06-16 15:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help 2010-02-08 02:37 . 2009-02-20 16:05 -------- d-----w- c:\programme\Google 2010-01-29 10:02 . 2010-01-29 10:02 348160 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcr71.dll 2010-01-29 10:02 . 2010-01-29 10:02 503808 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\msvcp71.dll 2010-01-29 10:02 . 2010-01-29 10:02 499712 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-617a8ee5-n\jmc.dll 2010-01-29 10:02 . 2010-01-29 10:02 61440 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-sse.dll 2010-01-29 10:02 . 2010-01-29 10:02 12800 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-2fc012fe-n\decora-d3d.dll 2010-01-29 10:02 . 2008-03-24 16:46 -------- d-----w- c:\programme\Java 2010-01-29 10:01 . 2010-01-29 10:01 79488 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Sun\Java\jre1.6.0_18\gtapi.dll 2010-01-29 09:55 . 2008-06-03 08:57 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2010-01-29 09:53 . 2009-04-27 21:29 -------- d-----w- c:\programme\Player 2010-01-26 22:29 . 2008-03-24 17:15 73936 ----a-w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-26 22:28 . 2009-10-22 15:20 -------- d-----w- c:\programme\Nokia 2010-01-26 22:01 . 2010-01-26 22:01 36864 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe 2010-01-26 22:01 . 2010-01-26 22:01 3351812 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe 2010-01-26 22:01 . 2010-01-26 22:01 3203453 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe 2010-01-26 22:01 . 2010-01-26 22:02 24437624 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_de.exe 2010-01-26 01:52 . 2008-07-27 20:34 -------- d-----w- c:\programme\Microsoft Works 2010-01-25 09:02 . 2010-02-20 12:28 349552 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe.exe 2010-01-25 09:02 . 2010-02-20 12:28 31936 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll 2010-01-25 09:02 . 2010-02-20 12:28 67360 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlus_Helper.dll 2010-01-25 09:02 . 2010-02-20 12:28 29344 ----a-w- c:\dokumente und einstellungen\Allgemein\Anwendungsdaten\Mozilla\Firefox\Profiles\nvon8k2g.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\chrome\content\getPlusPlus_Adobe_reg.exe 2010-01-14 19:43 . 2004-08-04 12:00 89124 ----a-w- c:\windows\system32\perfc007.dat 2010-01-14 19:43 . 2004-08-04 12:00 471232 ----a-w- c:\windows\system32\perfh007.dat 2010-01-12 16:22 . 2010-01-12 16:22 73936 ----a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2010-01-05 09:52 . 2004-08-04 12:00 832512 ------w- c:\windows\system32\wininet.dll 2010-01-05 09:52 . 2004-08-04 12:00 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-01-05 09:52 . 2004-08-04 12:00 17408 ------w- c:\windows\system32\corpol.dll 2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-25 13:10 . 2009-12-25 13:10 -------- d-----w- c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\PTV AG 2009-12-25 13:08 . 2008-03-24 16:56 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\GIS 2009-12-25 13:01 . 2009-12-25 13:01 -------- d-----w- c:\programme\Gemeinsame Dateien\mapserv 2009-12-25 12:45 . 2009-12-25 12:44 -------- d-----w- c:\programme\Tourenplaner 2009-12-18 14:37 . 2004-08-04 12:00 24064 ----a-w- c:\windows\system32\ctfmon.exe 2009-12-17 07:40 . 2008-03-24 16:38 346624 ----a-w- c:\windows\system32\mspaint.exe 2009-12-14 07:08 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-09 10:06 . 2004-08-04 12:00 2191488 ------w- c:\windows\system32\ntoskrnl.exe 2009-12-09 10:06 . 2004-08-04 00:50 2068352 ------w- c:\windows\system32\ntkrnlpa.exe 2009-12-08 16:40 . 2009-07-21 15:43 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-04 18:22 . 2004-08-04 12:00 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-27 17:11 . 2004-08-04 12:00 1297408 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:11 . 2004-08-04 00:57 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:08 . 2004-08-04 12:00 85504 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:08 . 2004-08-04 12:00 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:08 . 2004-08-04 12:00 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:08 . 2004-08-04 00:57 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:08 . 2001-08-18 04:54 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-02-20 16:17 . 2009-02-20 16:17 359656 ----a-w- c:\programme\InstallerCleanUp.exe 2009-02-20 16:10 . 2009-02-20 16:10 512600 ----a-w- c:\programme\GoogleEarthWin.exe 2009-02-20 16:04 . 2009-02-20 16:04 1046648 ----a-w- c:\programme\Google Updater.exe . ------- Sigcheck ------- [-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\ServicePackFiles\i386\ctfmon.exe [-] 2009-12-18 14:37 . C3A2915C71AE6F225EB906C25CCD29B5 . 24064 . . [1.0.0.5] . . c:\windows\system32\ctfmon.exe [7] 2004-08-04 . 7CE20569925DF6789C31799F0C538F29 . 15360 . . [5.1.2600.2180] . . c:\windows\$NtServicePackUninstall$\ctfmon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ccleaner"="c:\programme\CCleaner\ccleaner.exe" [2010-01-26 1724728] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NokiaMServer"="c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer" [X] "SiSUSBRG"="c:\windows\SiSUSBrg.exe" [2002-07-12 106496] "SiSPower"="SiSPower.dll" [2004-09-02 49152] "SiS Windows KeyHook"="c:\windows\system32\keyhook.exe" [2004-09-02 249856] "AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2007-02-02 283136] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "NokiaMusic FastStart"="c:\programme\Nokia\Nokia Music\NokiaMusic.exe" [2009-07-22 2331936] "GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-11-10 417792] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-12-18 24064] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Utility Tray.lnk - c:\windows\system32\sistray.exe [2008-3-24 331776] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] @="Driver" [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Online-Registrierung.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Online-Registrierung.lnk backup=c:\windows\pss\Online-Registrierung.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PalTalk.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PalTalk.lnk backup=c:\windows\pss\PalTalk.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD deinstallieren.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD deinstallieren.lnk backup=c:\windows\pss\PowerDVD deinstallieren.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD-Hilfe.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD-Hilfe.lnk backup=c:\windows\pss\PowerDVD-Hilfe.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PowerDVD.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\PowerDVD.lnk backup=c:\windows\pss\PowerDVD.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Readme.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Readme.lnk backup=c:\windows\pss\Readme.lnkCommon Startup [HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Systemdiagnose.lnk] path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Systemdiagnose.lnk backup=c:\windows\pss\Systemdiagnose.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2008-01-11 21:16 39792 ----a-w- c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor] 2007-08-24 05:00 33648 ----a-w- c:\programme\Microsoft Office\Office12\GrooveMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] 2004-05-07 09:49 536576 ----a-w- c:\programme\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] 2004-05-07 09:49 98304 ----a-w- c:\programme\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VMCL] 2007-06-04 13:00 131072 ----a-w- c:\programme\Vodafone\VMCLite\DongleEnumerator.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WHITNEY_S2P] 2006-03-27 06:35 229376 ----a-w- c:\programme\Samsung\Samsung SCX-4x21 Series\PSU\Scan2pc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "iPod Service"=3 (0x3) "WMPNetworkSvc"=3 (0x3) "ose"=3 (0x3) "odserv"=3 (0x3) "usnjsvc"=3 (0x3) "Themes"=2 (0x2) "Apple Mobile Device"=2 (0x2) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programme\\QuickTime\\QuickTimePlayer.exe"= "c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Programme\\SiSoftware\\SiSoftware Sandra Lite 2009.SP2\\RpcAgentSrv.exe"= "c:\\Programme\\ICQ6.5\\ICQ.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.07.2009 18:48 721904] R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [21.07.2009 16:43 108289] R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [24.03.2008 18:05 191092] R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [01.02.2009 13:44 265088] R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [24.03.2008 18:05 6100] S2 gupdate1c993774f502114;Google Update Service (gupdate1c993774f502114);c:\programme\Google\Update\GoogleUpdate.exe [20.02.2009 17:21 133104] S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;"c:\programme\Lavasoft\Ad-Aware\AAWService.exe" --> c:\programme\Lavasoft\Ad-Aware\AAWService.exe [?] S3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [01.02.2009 13:45 4352] S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [22.10.2009 16:20 136704] S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [22.10.2009 16:20 8320] S3 PRISM_A00;PRISM 802.11 Driver;c:\windows\system32\drivers\PRISMA00.sys [20.07.2004 20:16 393280] S3 SandraAgentSrv;SiSoftware Deployment Agent Service;c:\programme\SiSoftware\SiSoftware Sandra Lite 2009.SP2\RpcAgentSrv.exe [24.01.2009 22:35 98488] . Inhalt des "geplante Tasks" Ordners 2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21] 2010-02-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\programme\Google\Update\GoogleUpdate.exe [2009-02-20 16:21] . . ------- Zusätzlicher Suchlauf ------- . uStart Page = mWindow Title = IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\FUJITSU SIEMENS\Anwendungsdaten\Mozilla\Firefox\Profiles\bhy0306t.default\ FF - prefs.js: browser.startup.homepage - www.google.de FF - plugin: c:\programme\Google\Google Earth\plugin\npgeplugin.dll FF - plugin: c:\programme\Google\Update\1.2.183.13\npGoogleOneClick8.dll FF - plugin: c:\programme\Java\bin\new_plugin\npdeploytk.dll FF - plugin: c:\programme\Java\bin\new_plugin\npjp2.dll FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ ---- FIREFOX Richtlinien ---- pref(dom.disable_open_during_load, true);c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32); c:\programme\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600); c:\programme\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25); c:\programme\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5); c:\programme\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com"); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20); c:\programme\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20); . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-22 22:40 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys sphu.sys >>UNKNOWN [0x85F8D938]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf7506f28 \Driver\ACPI -> ACPI.sys @ 0xf725fcb8 \Driver\atapi -> atapi.sys @ 0xf71fcb40 IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022 ParseProcedure -> ntkrnlpa.exe @ 0x80577c84 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022 ParseProcedure -> ntkrnlpa.exe @ 0x80577c84 NDIS: AVM FRITZ!WLAN USB Stick v1.1 -> SendCompleteHandler -> NDIS.sys @ 0xf70f2bb0 PacketIndicateHandler -> NDIS.sys @ 0xf70ffa21 SendHandler -> NDIS.sys @ 0xf70dd87b user & kernel MBR OK ************************************************************************** . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'explorer.exe'(3992) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Weitere laufende Prozesse ------------------------ . c:\programme\Avira\AntiVir Desktop\avguard.exe c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe c:\programme\Java\bin\jqs.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\system32\Rundll32.exe c:\programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2010-02-22 22:45:52 - PC wurde neu gestartet ComboFix-quarantined-files.txt 2010-02-22 21:45 ComboFix2.txt 2010-02-22 20:40 Vor Suchlauf: 12 Verzeichnis(se), 12.967.428.096 Bytes frei Nach Suchlauf: 13 Verzeichnis(se), 12.845.637.632 Bytes frei - - End Of File - - 4430921D818FF89909205C753DB918C4 |
|
22.02.2010, 23:53
| #21 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Mach bitte noch einen Kontrollscan, öffne Malwarebytes, aktualisiere das Programm, starte einen Vollscan und lass alle etwaigen Funde entfernen. Anschließend wieder das Logfile posten.
__________________ --> Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? |
|
23.02.2010, 00:31
| #22 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? OK, mach ich, aber erst morgen... Danke erstmal! |
|
23.02.2010, 12:31
| #23 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Mahlzeit!!! Nix mehr gefunden, kann ich schon feiern gehn?? Malwarebytes-Logilfe (nach Update): Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3779 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 23.02.2010 12:26:54 mbam-log-2010-02-23 (12-26-54).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 211005 Laufzeit: 54 minute(s), 0 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
|
23.02.2010, 12:40
| #24 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Schön, wenn dann keine weiteren Probleme mehr sind, bitte die Updates prüfen, dann sollten wir eigentlich durch sein. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.02.2010, 12:56
| #25 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Erstmal vielen, vielen Dank für deine Mühe!!!  Und Sorry, dass ich mich so sngestellt hab, bin da nicht so versiert in den Sachen.Hätte da noch paar Fragen: - Ist's OK, wenn ich die MS Windows (XP)-Updates "automatisch" (übers "Sicherheitcenter") laufen lasse?? Oder manuell? Warum über IE, nicht über Firefox?? - Über die "Add-ons" im Firefox kann ich Java und Adobe glaub immer aktuellisieren, oder?? "Automisches Update" (generell für die Add-ons) einstellen?? - Wo kann ich mich kompakt darüber informieren, welche Add-ons sinnvoll?? - Ich habe Antivir (Freeware) als Virenschutz, außerdem CCleaner, Spy-Bot Search&Destroy, neu den Malwarebytes und Combofix und als "Systemoptimierung" XP-Antispy". Was davon ist überflüssig, bzw. was macht Sinn und sollte ich regelmäßig anwenden?? |
|
23.02.2010, 13:03
| #26 | ||||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?Zitat:
Zitat:
Zitat:
 )Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.02.2010, 13:23
| #27 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Mein Firefox ist 3.6 Ich hab folegende Erweiterungen: - Java Console 6.0.18 - Java Quick Starter 1.0 - Microsoft.Net Framework Assistant 1.1 Plugins: - 2007 Microsoft Office System (for Netscape Navigator) HÄ??? - Adobe Acrobat 8.1.0.137 - Java Deplayment Toolkit - Java Platform SE 6 U18 - Microsoft DRM - Mozilla Default Plugin - Quicktie Plug-in - Shockwave Flash - Windows Media Player Plugin Dynamic Link Library Malwarebytes ist überflüssig?? Und Antivir erwischt die Rootkits und so?? |
|
23.02.2010, 13:33
| #28 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht?Zitat:
 Zitat:
AntiVir hat ein ein Rootkiterkennungsmodul, verlass Dich aber nicht auf den Virenscanner. Trotz aktivem Virenscanner sollte man immer sein Hirn einschalten und mit eingeschränkten Rechten surfen 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
23.02.2010, 13:42
| #29 |
| | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Ich glaub den IE hab ich mal runtergeschmissen. Brauche ich den öfters, sollte ich den drauf lassen?? |
|
23.02.2010, 13:43
| #30 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? Häh, den IE?  Den kannst Du so garnicht (komplett) deinstallieren, da der IE eine Systemkomponente ist und von Windows intern verwendet wird.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Ist 'TR/Rootkit.Gen' ein Rootkit, oder nicht? |
| .dll, 0 bytes, ad-aware, adobe, antivir, antivir guard, avg, avgnt.exe, bho, browser, desktop, firefox, gupdate, hijack, hkus\s-1-5-18, internet, internet explorer, mozilla, nt.dll, object, plug-in, prozesse, registry, rundll, sched.exe, senden, services.exe, software, stick, suchlauf, svchost.exe, versteckte objekte, verweise, virus gefunden, warnung, windows |
Linear-Darstellung
