Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   RootKit oder Trojaner Hilfe (https://www.trojaner-board.de/36691-rootkit-trojaner-hilfe.html)

Andruschka204 28.02.2007 17:06
RootKit oder Trojaner Hilfe
 
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,

habe aufmerksam das Board durchstöbert aber leider keine wirkliche Hilfe zu meinem Problem gefunden ....
Hoffe, dass sich jemand meiner annehmen könnte.
Auf den Verdacht, dass irgendetwas mit meinem System nicht stimmt begründet sich durch die doch manchmal seltsamen Vorkommnisse, die sich nicht reproduzieren lassen.

Folgende Programme habe ich eingesetzt, bin aber leider weiter gekommen:

- AdAware
- a-squared free
- Spybot S&D
- AntiVir Free
- Bitdefender
- a-HiJackFree
- Autoruns
- HiJackThis
- F-Secure Backlight
- Gmer
- RootKit Revealer
- RegDelNull


Nun erstmal meine Logfile von HiJackFree:

Logfile of HiJackFree v2.1
Scan saved at 16:49:42, on 28.02.2007
Platform: Windows XP Service Pack 2 (Windows NT 5.1.2600)
MSIE: Internet Explorer v 6.0 Service Pack 2 (6.0.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Virtual CD v8\System\VC8Play.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Programme\Zone Labs\zlclient.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Spybot
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Cherry\CDI\cdi.exe
C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
C:\Programme\T-DSL SpeedManager\DslMgrSvc.exe
C:\WINDOWS\explorer.exe
D:\Programme\Security\RootkitRevealer\RootkitRevealer.exe
C:\DOKUME~1\ANDRUS~1\LOKALE~1\Temp\SNRB.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\bxNewFolderF12\bxExpHelper.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\HiJackFree\a2hijackfree.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Links
O2 - BHO: bxNewFolder - {51C8BCA8-2524-4523-BF09-738C4EEBFC58} - C:\Programme\bxNewFolderF12\bxNewFolder.dll
O2 - BHO: - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] C:\Programme\RivaTuner\RivaTuner.exe /S
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] C:\Programme\Gemeinsame Dateien\Logitech\khalshared\KHALMNPR.EXE
O4 - HKLM\..\Run: [VC8Player] C:\Programme\Virtual CD v8\System\VC8Play.exe
O4 - HKLM\..\Run: [avgnt] C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe /min
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\zlclient.exe
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - SearchDestroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O23 - Service: Adobe LM Service - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Warndienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: Gatewaydienst auf Anwendungsebene - C:\WINDOWS\System32\alg.exe
O23 - Service: AntiVir PersonalEdition Classic Planer - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - C:\Programme\Apache Group\Apache2\bin\Apache.exe
O23 - Service: Anwendungsverwaltung - C:\WINDOWS\system32\svchost.exe
O23 - Service: ASP.NET-Zustandsdienst - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
O23 - Service: Windows Audio - C:\WINDOWS\System32\svchost.exe
O23 - Service: AVG Anti-Spyware Guard - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: BitDefender Scan Server - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: Computerbrowser - C:\WINDOWS\system32\svchost.exe
O23 - Service: Cherry Device Interface - C:\Programme\Cherry\CDI\cdi.exe
O23 - Service: Indexdienst - C:\WINDOWS\system32\cisvc.exe
O23 - Service: Ablagemappe - C:\WINDOWS\system32\clipsrv.exe
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
O23 - Service: COM+-Systemanwendung - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Kryptografiedienste - C:\WINDOWS\system32\svchost.exe
O23 - Service: DCOM-Server-Prozessstart - C:\WINDOWS\system32\svchost
O23 - Service: DHCP-Client - C:\WINDOWS\system32\svchost.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Verwaltung logischer Datenträger - C:\WINDOWS\System32\svchost.exe
O23 - Service: DNS-Client - C:\WINDOWS\system32\svchost.exe
O23 - Service: Fehlerberichterstattungsdienst - C:\WINDOWS\System32\svchost.exe
O23 - Service: Ereignisprotokoll - C:\WINDOWS\system32\services.exe
O23 - Service: COM+-Ereignissystem - C:\WINDOWS\system32\svchost.exe
O23 - Service: FanSpeedNT Service - D:\DOWNLOAD\FanSpeed\fanspeedNT.exe
O23 - Service: Kompatibilität für schnelle Benutzerumschaltung - C:\WINDOWS\System32\svchost.exe
O23 - Service: Windows Presentation Foundation Font Cache 3.0.0.0 - C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
O23 - Service: Hilfe und Support - C:\WINDOWS\System32\svchost.exe
O23 - Service: HID Input Service - C:\WINDOWS\System32\svchost.exe
O23 - Service: Hotspot Manager - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: HTTP-SSL - C:\WINDOWS\System32\svchost.exe
O23 - Service: InstallDriver Table Manager - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Windows CardSpace - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
O23 - Service: IMAPI-CD-Brenn-COM-Dienste - C:\WINDOWS\system32\imapi.exe
O23 - Service: Server - C:\WINDOWS\system32\svchost.exe
O23 - Service: Arbeitsstationsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: TCP/IP-NetBIOS-Hilfsprogramm - C:\WINDOWS\system32\svchost.exe
O23 - Service: Machine Debug Manager - C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
O23 - Service: Nachrichtendienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: NetMeeting-Remotedesktop-Freigabe - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Distributed Transaction Coordinator - C:\WINDOWS\system32\msdtc.exe
O23 - Service: Windows Installer - C:\WINDOWS\system32\msiexec.exe
O23 - Service: Netzwerk-DDE-Dienst - C:\WINDOWS\system32\netdde.exe
O23 - Service: Netzwerk-DDE-Serverdienst - C:\WINDOWS\system32\netdde.exe
O23 - Service: Anmeldedienst - C:\WINDOWS\system32\lsass.exe
O23 - Service: Netzwerkverbindungen - C:\WINDOWS\System32\svchost.exe
O23 - Service: Net.Tcp Port Sharing Service - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
O23 - Service: NLA (Network Location Awareness) - C:\WINDOWS\system32\svchost.exe
O23 - Service: NT-LM-Sicherheitsdienst - C:\WINDOWS\system32\lsass.exe
O23 - Service: Wechselmedien - C:\WINDOWS\system32\svchost.exe
O23 - Service: O&O Defrag - C:\WINDOWS\system32\oodag.exe
O23 - Service: Plug & Play - C:\WINDOWS\system32\services.exe
O23 - Service: Pml Driver - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: IPSEC-Dienste - C:\WINDOWS\system32\lsass.exe
O23 - Service: Geschützter Speicher - C:\WINDOWS\system32\lsass.exe
O23 - Service: Verwaltung für automatische RAS-Verbindung - C:\WINDOWS\system32\svchost.exe
O23 - Service: RAS-Verbindungsverwaltung - C:\WINDOWS\system32\svchost.exe
O23 - Service: Sitzungs-Manager für Remotedesktophilfe - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Routing und RAS - C:\WINDOWS\system32\svchost.exe
O23 - Service: Remote-Registrierung - C:\WINDOWS\system32\svchost.exe
O23 - Service: RPC-Locator - C:\WINDOWS\system32\locator.exe
O23 - Service: Remoteprozeduraufruf (RPC) - C:\WINDOWS\system32\svchost
O23 - Service: QoS-RSVP - C:\WINDOWS\system32\rsvp.exe
O23 - Service: Sicherheitskontenverwaltung - C:\WINDOWS\system32\lsass.exe
O23 - Service: SiSoftware Database Agent Service - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIb\RpcSandraSrv.exe
O23 - Service: Sophos Anti-Virus Statusreporter - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Smartcard - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Taskplaner - C:\WINDOWS\System32\svchost.exe
O23 - Service: Sekundäre Anmeldung - C:\WINDOWS\System32\svchost.exe
O23 - Service: Systemereignisbenachrichtigung - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung - C:\WINDOWS\system32\svchost.exe
O23 - Service: Shellhardwareerkennung - C:\WINDOWS\System32\svchost.exe
O23 - Service: SNRB - C:\DOKUME~1\ANDRUS~1\LOKALE~1\Temp\SNRB.exe
O23 - Service: Sophos AutoUpdate Service - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Druckwarteschlange - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Systemwiederherstellungsdienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: SSDP-Suchdienst - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows-Bilderfassung (WIA) - C:\WINDOWS\system32\svchost.exe
O23 - Service: MS Software Shadow Copy Provider - C:\WINDOWS\system32\dllhost.exe
O23 - Service: Leistungsdatenprotokolle und Warnungen - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telefonie - C:\WINDOWS\System32\svchost.exe
O23 - Service: T-DSL Manager - C:\Programme\T-DSL SpeedManager\DslMgrSvc.exe
O23 - Service: Terminaldienste - C:\WINDOWS\System32\svchost
O23 - Service: Designs - C:\WINDOWS\System32\svchost.exe
O23 - Service: Telnet - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Überwachung verteilter Verknüpfungen (Client) - C:\WINDOWS\system32\svchost.exe
O23 - Service: Universeller Plug & Play-Gerätehost - C:\WINDOWS\system32\svchost.exe
O23 - Service: Unterbrechungsfreie Stromversorgung - C:\WINDOWS\System32\ups.exe
O23 - Service: V2i Protector - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
O23 - Service: Virtual CD v8 Management Service - C:\Programme\Virtual CD v8\System\VC8SecS.exe
O23 - Service: TrueVector Internet Monitor - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Volumeschattenkopie - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Windows-Zeitgeber - C:\WINDOWS\System32\svchost.exe
O23 - Service: Webclient - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows-Verwaltungsinstrumentation - C:\WINDOWS\system32\svchost.exe
O23 - Service: Dienst für Seriennummern der tragbaren Medien - C:\WINDOWS\System32\svchost.exe
O23 - Service: Treibererweiterungen für Windows-Verwaltungsinstrumentation - C:\WINDOWS\System32\svchost.exe
O23 - Service: WMI-Leistungsadapter - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Windows Media Player-Netzwerkfreigabedienst - C:\Programme\Windows Media Player\WMPNetwk.exe
O23 - Service: Sicherheitscenter - C:\WINDOWS\System32\svchost.exe
O23 - Service: Automatische Updates - C:\WINDOWS\system32\svchost.exe
O23 - Service: Windows Driver Foundation - User-mode Driver Framework - C:\WINDOWS\system32\svchost.exe
O23 - Service: Konfigurationsfreie drahtlose Verbindung - C:\WINDOWS\System32\svchost.exe
O23 - Service: BitDefender Communicator - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
O23 - Service: Netzwerkversorgungsdienst - C:\WINDOWS\System32\svchost.exe

Weiterhin habe ich mit dem RootKit Revealer ein Scan durchgeführt, der folgendes Ergebnis brachte:
Siehe angehängtes RootKit.jpg

Wenn jemand einige Tipps hat, wie mein weiteres Vorgehen aussehen sollte bitte posten.

VIELEN DANK im Voraus!

Andruschka204 28.02.2007 17:14
Liste der Anhänge anzeigen (Anzahl: 1)
Servus, habe nochmal das Bild in höherer Auflösung hochgeladen :crazy:
... damit es einem nicht so ergeht ...


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:28 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131