Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Schreibzugriff auf ACPI (https://www.trojaner-board.de/33722-schreibzugriff-acpi.html)

SystemPro 22.11.2006 02:21
Schreibzugriff auf ACPI
 
Hi leute, ich habe mal den ACPI Bios Reg Schlüssel extrahiert und am Anfang davon steht folgendes, wenn man es im Hex Editor anschaut:

..S.c.h.l...s.s.e.l.n.a.m.e.:. .H.K.E.Y._.L.O.C.A.L._.M.A.C.H.I.N.E.\.H.A.R.D.W.A.R.E.\.A.C.P.I.\.D.S.D.T.\.N.V.I.D.I.A.\.A.W.R.D.A.C.P.I.\.0.0.0.0.1.0.0.0.....K.l.a.s.s.e.n.n.a.m.e .:. .<.K.E.I.N.E. .K.L.A.S.S.E.>.....L.e.t.z.t.e.r. .S.c.h.r.e.i.b.z.u.g.r.i.f.f.:. .2.2...1.1...2.0.0.6. .-. .0.1.:.2.0.....W.e.r.t. .0..... . .N.a.m.e.:. .0.0.0.0.0.0.0.0..... . .T.y.p.:. .R.E.G._.B.I.N.A.R.Y..... . .D.a.t.e.n.:. .....0.0.0.0.0.0.0.0

Letzter Schreibzugriff ist das normal? Sieht das nicht schwer nach dem Beweis eines ACPI Infekts aus?

cosinus 22.11.2006 02:44
Äh...:confused:
Ein Schreibzugriff in die Registry = Infektion?
Schon klar, eine unter einem Adminkonto erstellte Malware hat auch die Rechte überall in der Registry herumzufuhrwerken. ;)
Poste ein Hijackthis-Logfile.

SystemPro 22.11.2006 03:14
naja, wahrscheinlich ein standard Zugriff, warum steht eigentlich in den ACPI DSDT Dump Alexfg drin? Ich glaube das steht bei den meisten PCs drin.

HijackLog
C:\WINDOWS\regedit.exe
C:\PROGRA~1\Free Download Manager\fdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\aaksrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Advanced Anti Keylogger\aak.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.de/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [AAK] C:\Programme\Advanced Anti Keylogger\aak.exe /silent
O4 - HKCU\..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe -autorun
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8F22A02-958E-4C55-A383-0130E18803C5}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: system32\aakah.dll
O20 - Winlogon Notify: SDNotify - C:\Programme\MaxAntiSpyware\SDNotify.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: aaksrv - Spydex, Inc. - C:\WINDOWS\system32\aaksrv.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\G DATA AntiVirus praesentiert von AOL\AVKService.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Achso nebenbei wäre auch interessant zu wissen, was ihr von AAntiKeyloggers Meinungen über angebliche Screenshot MOdule halten, sieht mir eher wie eine Reihe Fehlalarme aus oder?

http://i7.tinypic.com/4g7zlux.png

cosinus 22.11.2006 12:44
Könntest Du mal das komplette Logfile posten? Der Kopf mit den Infos über Windows und IE fehlt, reiche den bitte nach. Sonst konnte ich nichts Verdächtiges sehen.
Zitat:
Achso nebenbei wäre auch interessant zu wissen, was ihr von AAntiKeyloggers Meinungen über angebliche Screenshot MOdule halten, sieht mir eher wie eine Reihe Fehlalarme aus oder?
Sieht nach Fehlalarmen aus, ja.
Wenn Du immer noch Schälingsbefall vermutest, könntest Du zuerst ja mal mit Blacklight das System checken. Poste dann das Ergebnis.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132