Hallo,
nach einem von Norton erkannten und entfernten Befall von dem Hacktool.Rootkit in der Datei SVKP.sys will ich sicher gehen ob keine Spyware auf meinem Rechner liegt. Im Logfile (siehe unten) sind mir dann nur die zwei Zeilen aufgefallen. Ein whois (bei http://www.iks-jena.de/cgi-bin/whois) umindest von der erste IP fürt zu

Suchbegriff: 192.168.120.252
Adresse: whois.arin.net

Suchergebnis:

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

Das scheint mir nicht richtig zu sein. Was meint ist das die geöfnete Hintertür
? Falls notwendig kann ich auch noch den ganzen Log posten.

Wenn ja, kann ich die beiden Einträge löschen ohne das mein System abschmiert, bzw. das ich auch danach noch das Internet nutzen kann? Bei HijackThis geht das doch über den Button Fix checked?

PS. das System wurd auf alle Fälle neu aufgesetzt, ich brauche aber dazu noch etwas Vorbereitungszeit (aktuelle Treiber holen und Dateisicherung).

Danke für eure Hilfe
Grüße Micha


----------------------

Hier das Log:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:42, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

O17 - HKLM\System\CCS\Services\Tcpip\..\{587F38B7-9D97-4EF3-928D-1849905F3279}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8322884-E3AD-4889-9A1E-A9DD46877E65}: NameServer = 192.168.122.252,192.168.122.253

Wenn schon Logfile

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 08:26:42, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

O17 - HKLM\System\CCS\Services\Tcpip\..\{587F38B7-9D97-4EF3-928D-1849905F3279}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8322884-E3AD-4889-9A1E-A9DD46877E65}: NameServer = 192.168.122.252,192.168.122.253

dann wenigstens ganze */* posten!
Wegen der IP: *glaskugelreib* irgendein privates Netzwerk, sagt ja die IANA!
So aus dem Zusammenhang gerissen
Wenn Du neu aufgesetzt hast, hast Du dich hoffentlich an alle Ratschläge von Cidre gehalten!? Wenn Du das gemacht hast, kannst Du sicher sein, dass Du nichts, was nicht hergehört, auf Deinem PC hast.
Da Du aber so skeptisch bist, gehe ich davon aus, dass Du dir einen eigenen Weg gestrickt hast!?
stupormundi

Zitat:

Zitat von stupormundi

Wenn schon Logfile

dann wenigstens ganze */* posten!
Wegen der IP: *glaskugelreib* irgendein privates Netzwerk, sagt ja die IANA!
So aus dem Zusammenhang gerissen
Wenn Du neu aufgesetzt hast, hast Du dich hoffentlich an alle Ratschläge von Cidre gehalten!? Wenn Du das gemacht hast, kannst Du sicher sein, dass Du nichts, was nicht hergehört, auf Deinem PC hast.
Da Du aber so skeptisch bist, gehe ich davon aus, dass Du dir einen eigenen Weg gestrickt hast!?
stupormundi

Hallo,
danke für die schnelle Antwort. Da war leider ein kleiner Verschreiber in meinem posting. Ich will das System demnächst neu aufsetzen. Gemacht habe ich das noch nicht.

Hier noch mal das komplette Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Tools\Norton Personal Firewall\ISSVC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Tools\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Tools\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
D:\Tools\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
D:\Tools\NORTON~1\NORTON~1\NPROTECT.EXE
D:\Tools\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
D:\Tools\FRITZ!\AWatch.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\hphmon03.exe
D:\Tools\Tweak-XP Pro\tranicon.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Tools\Logitech\SetPoint\KEM.exe
D:\Tools\FRITZ!\FritzDsl.exe
D:\Tools\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\HPHipm09.exe
C:\WINDOWS\system32\wuauclt.exe
E:\Dokumente und Einstellungen\2micha\Eigene Dateien\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Office\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\internet\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Tools\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Tools\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AWatch] "D:\Tools\FRITZ!\AWatch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Norton Ghost 9.0] D:\Tools\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\multimedia\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKCU\..\Run: [TransparentIcons] "D:\Tools\Tweak-XP Pro\tranicon.exe" -ex
O4 - HKCU\..\Run: [Makro] "D:\Tools\makro\Makro.exe"
O4 - HKCU\..\Run: [Norton SystemWorks] "D:\Tools\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!web DSL.lnk = D:\Tools\FRITZ!\FritzDsl.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Tools\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Office\XPProf\Office10\OSA.EXE
O4 - Global Startup: PC-Wetterstation.lnk = D:\Sonstiges\WsWin\wswin32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\Office\XPProf\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - D:\Internet\OnlineCounter 2002\OCHangUp.exe (file missing) (HKCU)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093542044796
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{587F38B7-9D97-4EF3-928D-1849905F3279}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8322884-E3AD-4889-9A1E-A9DD46877E65}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - d:\sonstiges\taxman2004\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - D:\Tools\Norton Personal Firewall\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Tools\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - D:\Tools\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Tools\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Tools\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Tools\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\Tools\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Zitat:

Ich will das System demnächst neu aufsetzen. Gemacht habe ich das noch nicht.

Dann tu´s - worauf wartest Du? Wenn Du wirklich Hacktool.Rootkit an board gehabt hast, dann ist es ohnedies die einzige Möglichkeit ein zuverlässig sauberes System zu haben. Da kannst Du hundert mal ein "schönes" HJT-Logfile haben! (ich habe es mir gar nicht angesehen)Eigentlich dachte ich, Du hättest schon neu aufgesetzt.
stupormundi