Trojaner-Board
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sehr liebe Bitte um professionelle Hilfe bei hartnäckigem Problem! (https://www.trojaner-board.de/61394-sehr-liebe-bitte-um-professionelle-hilfe-hartnaeckigem-problem.html)

eelaa 15.10.2008 18:39
Liebe Myrtille,


Was heißt das jetzt?

lg,eelaa

myrtille 15.10.2008 19:14
Hi,

ich bin verwundert, auf den Eintrag für den Proxy wurde scheinbar nicht zugegriffen.
Daher frag ich ob dieser verändert wurde, eigentlich sollte jeglicher Zugriff auf den Eintrag dokumentiert werden.

lg myrtille

eelaa 15.10.2008 21:55
Liebe myrtille:

Ich hab nochmal Rootkit-Detektive laufen lassen und da kam das hier raus:


McAfee(R) Rootkit Detective 1.1 scan report
On 15-10-2008 at 22:07:18
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeviceIoControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFlushKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFsControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueueApcThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwResumeThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetContextThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwSuspendProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSuspendThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwUnloadKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2696
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: aawservice.exe
Pid: 1084
Object-Path: C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 1272
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: atiptaxx.exe
Pid: 2636
Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Status: Visible

Object-Type: Process
Object-Name: odClientService
Pid: 1024
Object-Path: C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 376
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 780
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1156
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 196
Object-Path: C:\Dokumente und Einstellungen\***\Desktop\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SbieSvc.exe
Pid: 1344
Object-Path: C:\Programme\Sandboxie\SbieSvc.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 820
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1472
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SbieCtrl.exe
Pid: 232
Object-Path: C:\Programme\Sandboxie\SbieCtrl.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 512
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 2592
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: UMTS USB Modem
Pid: 3832
Object-Path: C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1012
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1260
Object-Path: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 2380
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1296
Object-Path: C:\Programme\Bonjour\mDNSResponder.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 1824
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: RTHDCPL.EXE
Pid: 2600
Object-Path: C:\WINDOWS\RTHDCPL.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 864
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 2260
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 524
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 680
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Scan complete. No hidden processes/files found.
Total files scanned: 25242
Scanning did not complete due to the user interruption.
McAfee(R) Rootkit Detective 1.1 scan report
On 15-10-2008 at 22:08:07
OS-Version 5.1.2600
Service Pack 3.0
====================================

Object-Type: SSDT-hook
Object-Name: ZwAdjustPrivilegesToken
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwClose
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwCreateSymbolicLinkObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwCreateThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDeleteKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeleteValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwDeviceIoControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwDuplicateObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwEnumerateKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwEnumerateValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFlushKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwFsControlFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadDriver
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwLoadKey2
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenFile
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwOpenProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenSection
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwOpenThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueryMultipleValueKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwQueryValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwQueueApcThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwReplaceKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRequestWaitReplyPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwRestoreKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwResumeThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSaveKey
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSecureConnectPort
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetContextThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSecurityObject
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetSystemInformation
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSetValueKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwSuspendProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSuspendThread
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwSystemDebugControl
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwTerminateProcess
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: SSDT-hook
Object-Name: ZwUnloadKey
Object-Path: \??\C:\WINDOWS\system32\Drivers\PROCMON20.SYS

Object-Type: SSDT-hook
Object-Name: ZwWriteVirtualMemory
Object-Path: C:\WINDOWS\system32\drivers\klif.sys

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2696
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: aawservice.exe
Pid: 1084
Object-Path: C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
Status: Visible

Object-Type: Process
Object-Name: System Idle Process
Pid: 0
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 1272
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: atiptaxx.exe
Pid: 2636
Object-Path: C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
Status: Visible

Object-Type: Process
Object-Name: odClientService
Pid: 1024
Object-Path: C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 376
Object-Path: C:\WINDOWS\System32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 780
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1156
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 196
Object-Path: C:\Dokumente und Einstellungen\***\Desktop\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: SbieSvc.exe
Pid: 1344
Object-Path: C:\Programme\Sandboxie\SbieSvc.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 696
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 820
Object-Path: C:\WINDOWS\System32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1472
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: SbieCtrl.exe
Pid: 232
Object-Path: C:\Programme\Sandboxie\SbieCtrl.exe
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 512
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: avp.exe
Pid: 2592
Object-Path: C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
Status: Visible

Object-Type: Process
Object-Name: UMTS USB Modem
Pid: 3832
Object-Path: C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1012
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: AppleMobileDevi
Pid: 1260
Object-Path: C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 2380
Object-Path: C:\WINDOWS\Explorer.EXE
Status: Visible

Object-Type: Process
Object-Name: mDNSResponder.e
Pid: 1296
Object-Path: C:\Programme\Bonjour\mDNSResponder.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 1824
Object-Path: C:\WINDOWS\System32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: RTHDCPL.EXE
Pid: 2600
Object-Path: C:\WINDOWS\RTHDCPL.EXE
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 864
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 2260
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 524
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 432
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: ati2evxx.exe
Pid: 680
Object-Path: C:\WINDOWS\system32\Ati2evxx.exe
Status: Visible

Scan complete. Hidden registry keys/values: 1
-------------------------------------------------------------

DIESER HIER IST DER VERSEUCHTE, SAG DOCH JAA, MYRTILLE!

Object-Type: Registry-value
Object-Name: (Default)
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Status: Registy value-data mismatch


Ich hab ihn übrigens schon zweimal gelöscht mit Rootkit Dingens, aber er kommt wieder.

Ich könnte DEN ja mal in den Prozess-Monitor packen, was denkst DU?

Das hier hatte Rootkit Revealer gefunden:

Path:
HKLM\SECURITY\Policy\Secrets\SAC*
Timestamp:
25.11.2005
Size:
0 bytes
Description:
key name contains embedded nulls

Path:
HKLM\SECURITY\Policy\Secrets\SAI*
Timestamp:
25.11.2005
Size:
0 bytes
Description:
key name contains embeddet nulls

Path:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{E211B736-43FD-11D1-9EFB-0000F8757FCD}
Timestamp:
25.09.2008
Size:
19 bytes
Description:
Data mismatch between Windows API and raw hive data.


weitere neu entdeckte Sachen:


Wenn ich in Mozilla in die Suchleiste gehe - ich habe übrigens alle Toolbars deinstalliert, jedoch gebe ich einen Suchbegriff ein, springt die ICQSearch-Seite rein, diese hier (ohne `beispiel` natürlich):

h**p://search.icq.com/search/afe_results.php?ch_id=afex&q=beispiel

obwohl ich in Mozilla diese Seite komplett mit allem drum und dran geblockt habe, bleibt sie da. Ich habe überhaupt alles von ICQ rausgeschmissen.

Dieses hier ist die Beschreibung von Mozilla, wenn ich auf das ICQIcon klicke, dass sobald die Suche losgeht, erscheint.

DIESE SACHE IST MIR LEIDER ERST JETZT AUFGEFALLEN, weil ich meist mit Lesezeichen arbeite und man dann die ICQ Scheiße dann nicht sieht.

Jedenfalls das hier steht in der Beschreibung:

Website: search.icq.com
Besitzer: Diese Website bietet keine Informationen an, um ihre Identität zu bestätigen.
Validiert von: Nicht angegeben

Kompatibilitätsmodus (Quirks)
5,49 KB (5.619 Byte)
text/html; charset=UTF-8
IE=EmulateIE7
ICQ search, search engines, ICQ search engine, search engine, people search, image search, images search, definition, web search, internet search engine, web search engine, internet search, searchsite, site search, search ICQ, free search engine
The ICQ Search engine delivers great search results, enhanced by Google, with additional features to help make your search much easier.


Vielleicht bringen diese Infos etwas mehr Licht ins Dunkel. Ich hoffe es.

lg,eelaa:)

myrtille 15.10.2008 23:53
Hi,

die Einträge sind eigentlich "unbedenklich". Mit Einträgen unter
Zitat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\MyComputer\NameSpace\DelegateF olders\
richtet man "spezifische Ordner" ein, etwa der Ordner "gemeinsame Dokumente" und ähnliche Ordner.
Soweit ich rausfinden konnte, könnte es sich bei dem von dir geposteten Wert um einen Ordner für Bilder von einer Kamera handeln.

Da während des Rootkitscans zwangsläufig noch andere Prozesse laufen, kann es durchaus sein, dass der Schlüssel in Benutzung war, was zu der Meldung führte.

Die ICQ-Suchmaschine solltest du entfernen können, indem du in Mozilla auf den Pfeil neben dem Symbol der Suchmaschine klickst, dann auf "Suchmaschinen verwalten" klickst und da ICQSearch entfernst.

Überprüfe bitte außerdem ob du noch irgendwelche Addons installiert hast, die dir unbekannt vorkommen (Unter Extras->Add-ons->Erweiterungen) oder von ICQ sind.

Fixe bitte den Eintrag mit Hijackthis und Schau ob er wieder kommt.
Ich hab auch schon ICQ verdächtigt, daher werden wir mal sehen

Poste bitte nochmal ein neues Hijackthislog (nachdem du wieder online warst. ;) ), damit ich sehen kann, wie das aktuell aussieht.

eelaa 16.10.2008 18:57
Liebe Myrtille,

ich habe noch mal mit dem Prozess-Monitor herumexperimentiert und habe den Eintrag jetzt da drin gefunden:

"Time of Day","Process Name","PID","Operation","Path","Result","Detail"
"17:57:16,4765572","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,4766178","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5020143","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5020531","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5020878","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5021462","Explorer.EXE","1536","RegOpenKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS","Desired Access: Read"
"17:57:16,5054376","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:16,5054770","Explorer.EXE","1536","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap","SUCCESS",""
"17:57:32,8945340","avp.exe","1556","RegCreateKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections","SUCCESS","Desired Access: Query Value"
"17:57:32,8945949","avp.exe","1556","RegOpenKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections","SUCCESS","Desired Access: Read, Maximum Allowed"
"17:57:32,8946547","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections","SUCCESS",""
"17:57:32,8946969","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","BUFFER OVERFLOW","Length: 144"
"17:57:32,8947422","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","BUFFER OVERFLOW","Length: 144"
"17:57:32,8947718","avp.exe","1556","RegQueryValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\Internet","SUCCESS","Type: REG_BINARY, Length: 200, Data: 46 00 00 00 8F 04 00 00 09 00 00 00 10 00 00 00"
"17:57:32,8948818","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections","SUCCESS",""
"17:57:32,9749021","avp.exe","1556","RegCreateKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings","SUCCESS","Desired Access: Write"
"17:57:32,9749202","avp.exe","1556","RegOpenKey","HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings","SUCCESS","Desired Access: Read, Maximum Allowed"
"17:57:32,9749635","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS",""
"17:57:32,9749998","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable","SUCCESS","Type: REG_DWORD, Length: 4, Data: 0"
"17:57:32,9750465","avp.exe","1556","RegSetValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer","SUCCESS","Type: REG_SZ, Length: 34, Data: icqlite.exe:5190"
"17:57:32,9803081","avp.exe","1556","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride","NAME NOT FOUND",""
"17:57:32,9820521","avp.exe","1556","RegDeleteValue","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL","NAME NOT FOUND",""
"17:57:32,9821088","avp.exe","1556","RegCloseKey","HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings","SUCCESS",""


Highjack-Log kommt gleich:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:59, on 16.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = icqlite.exe:5190
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKCU\..\Run: [Mobile Partner] "C:\Programme\UMTS USB Modem Manager\UMTS USB Modem Manager.exe"
O4 - HKCU\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://h**p://cdn.scan.onecare.live....scbase5036.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://h**p://messenger.zone.msn.com...t.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5390ED-C600-4D4D-9105-8BB94C45E0D0}: NameServer = 212.23.97.2 212.23.97.3
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Odyssey Client for Fujitsu Siemens Computers (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5842 bytes


Keine Suchmaschinen, add-ones oder sonstiges mehr drin, icqSearch ist trotzdem in Mozilla drin und war als Suchmaschine hier garnicht verzeichnet, hab es aber im InternetExplorer entfernt, Fixing im abgesicherten Modus und Systemwiederherstellungs-Deaktivierung haben nichts gebracht.

lg, eelaa

myrtille 16.10.2008 19:13
Hi,

du kannst mal eine Dateisuche nach avp.exe machen, aber das sieht sehr nach Kaspersky aus.
Ich informier mich mal, ob und welcher Schutz dafür verantwortlich sein könnte.

Ist die ICQSearch noch da, oder nicht?

Editier bitte die links in deinem Log.

lg myrtille

myrtille 16.10.2008 19:27
Hi,

versuch bitte mal Folgendes:
Zitat:
Gehe dann zu: C:\Dokumente und Einstellungen\DeinBenutzerNameAnwendungsdaten\Mozilla\Firefox\Profiles\(irgendwelche hyroglyphen).default\

Dort ist eine Datei Namens: prefs.js
Diese mit einem Texteditor öffnen und

Ersetze:
user_pref("browser.search.defaultenginename", "ICQ Search");
durch
user_pref("browser.search.defaultenginename", "Google Search");

sowie:
user_pref("keyword.URL", "http://search.icq.com/search/results.php?q=");
durch
user_pref("keyword.URL", "http://www.google.de/search?hl=de&q=");
Arbeite bitte außerdem folgendes ab:
Zitat:
1. Laden Sie das Tool GetSystemInfo.exe unter dem folgenden Link herunter: Downloadlink

2. Starten Sie GetSystemInfo.exe (durch Doppelklick auf der Datei) auf dem betroffenen Computer.
Daraufhin wird das Dialogfenster "Saving system information to file" geöffnet.

3. Um die Systeminformationen in eine Datei zu speichern, klicken Sie auf die Schaltfläche Speichern.
Daraufhin wird das Fenster mit zwei Fortschrittsbalken geöffnet, die den Verlauf des Speichervorgangs anzeigen.

4. Sobald der Fortschrittbalken verschwunden ist, wurde die Datei mit Systeminformationen erfolgreich generiert.
Lade die Datei bei file-upload hoch und poste den Link anschließend hier.

lg myrtille

eelaa 16.10.2008 19:36
Liebe Myrtille,

zwei Dateien hab ich gefunden:

AVP.EXE-00A8088A.pf im Ordner C:\WINDOWS\Prefetch

und

Kaspersky avp.exe im Ordner C:\Programme\KasperskyLab

(auch versteckte Elemente gesucht)

IcqSearch kommt nach wie vor und drängelt sich in die Suchleiste.

lg,eelaa



Ok hab grade Deine Nachrichten gesehen, mach ich alles, bis später, Du bist ein Engel, Myrtille.

Danke, lg, eelaa

myrtille 16.10.2008 19:45
Heya,

könntest du das getsysteminfo-tool bitte jetzt noch schnell ausführen und hochladen?

Danke. :)

lg myrtille

eelaa 16.10.2008 20:58
Hi Myrtille,

Hier ist das getsysteminfo:


http://www.file-upload.net/download-1185763/sysinfo.txt.html


http://www.file-upload.net/delete-1185763/hzaqff.html


(muss ich die eingentlich auch editieren?)

Und in dieser prefs.js war google schon drin, von icq nichts zu finden.


lg,eelaa

myrtille 16.10.2008 21:14
Hi,


aber ICQSearch wird trotzdem noch gezeigt für die Suche?

Kannst du mir bitte deine Einstellungen von Kaspersky mal zeigen. Eventuell mit Screenshot. Mich würden vor allem die Registrykarte interessieren. Hast du die Standardeinstellungen behalten, oder hast du etwas verändert.

lg myrtille

eelaa 16.10.2008 21:32
Hy Myrtille,

mit screenshot kenn ich mich garnicht aus. wie mach ich das?

Und wo ist die registry bei kaspersky?

lg,eelaa

myrtille 16.10.2008 21:49
Hi,

Wenn du keine Einstellungen bei Kaspersky personaliert hast, würde ich vorschlagen, dass du einen Reset machst und den proxy-Eintrag dann nochmal fixt.

Die Werkeinstellungen solltest du bekommen, indem du unter Einstellungen -> Service -> Wiederherstellen gehst und dort alles zurücksetzt.
Starte den Rechner danach neu und fixe den Eintrag mit Hijackthis.

Kommt er dann noch wieder?

lg myrtille

eelaa 17.10.2008 18:11
Hy Myrtille,

wenn ich kaspersky wiederherstelle, soll ich ALLES ankreuzen, auch unter Programmkontrolle: Programme, Regeln, Ressourcen, Netzwerke... ?

lg, eelaa

myrtille 17.10.2008 18:14
Hi,

ich würde sagen: Ja, da ich derzeit nicht weiß welche Einstellung das Problem verursacht.

lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:29 Uhr.
Seite 3 von 5 12 3 45
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131