4. bei rapidshare - wieder zu gross


http://rapidshare.de/files/12952997/sys.txt.html



Suse

*RootkitRevealer*

Soll ich das einfach runterladen und starten?
Kann ich da irgendwas falsch machen?

Mein Englisch reicht leider nicht für die Beschreibungen auf der Seite, ich versteh nix.

Danke, Suse

Zitat:

Zitat von senpl

*RootkitRevealer*

Soll ich das einfach runterladen und starten?
Kann ich da irgendwas falsch machen?

Ja. Ja. Ja.

Lade Dir Rootkitrevealer, starte das Programm, klicke auf Scan und dann mach gar nichts am Rechner, bis der Scan zu Ende ist. Danach das Log speichern (File -> Save) und hier posten.

Hier RootKit - log

bei rapidshare:


http://rapidshare.de/files/12955698/RootkitReveal.txt.html

Oha, imho ist das ein ausgewachsener Rootkit.

Hallo,
sehe ich auch so, bin mir aber über die weitergehende Vorgehensweise nicht im klaren (Überprüfung der Dateien), vielleicht weiß Sabina mehr. Mir würde nur einfallen die Dateien mit einer KnoppixCD zu überprüfen, aber mal abwarten was Sabina meint.
Aus meiner Sicht sollte das System neu aufgesetzt werden, aber auch da warte ich Sabinas sichtweise der Dinge ab.


Grüße Wildone

???

hört sich nicht gut an!


Suse

wusste ich es doch ...da gibt es einen Dienst und fetten Rootkit obendrein.....
Apropos --> http://virus-protect.org/artikel/spyware/apropos1.html
Allerdings scheint es eine neue Variante zu sein...........

1. Schritt:

aproposfix
http://swandog46.geekstogo.com/aproposfix.exe

lade aproposfix.exe --> klicke RunThis.bat
klicke "enter" und warte, bis sich das Fenster schliesst.
dann kopiere die log.txt ab.

der 2.Schritt kommt danach ..wird aber wahrscheinlich nicht mehr notwendig sein.. Problem geloest, falls der Fix funktioniert.
Wenn nicht, bekommen wir es dennoch weg.

-----------------------------------------------------------------------

C:\System Volume Information\_restore{07D7BC8F-8040-4C3C-85C5-ED3B84D81E06}\RP35\A0019025.dll

C:\WINDOWS\system32\drivers\proanarp.sys
C:\WINDOWS\system32\odfbjsel.exe
C:\Programme\Xeroctor
C:\Programme\Xeroctor\Cache
C:\Programme\Xeroctor\Cache\dns
C:\Programme\Xeroctor\Cache\index
C:\Programme\Xeroctor\data.bin
C:\Programme\Xeroctor\dmbccoin.exe
C:\Programme\Xeroctor\PDXUTJADCPC.dll
C:\Programme\Xeroctor\resping6.exe
C:\Programme\Xeroctor\resping6.lgg
C:\Programme\Xeroctor\WAI.dll

HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RSPSC
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_RTLPI32
HKLM\SYSTEM\ControlSet003\Services\rtl8139
HKLM\SYSTEM\ControlSet003\Services\RTLpi32
HKLM\SOFTWARE\CvTVsADtcN39

HKLM\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}

C:\RECYCLER\NPROTECT\02774951.dll
C:\RECYCLER\NPROTECT\02777706

Sysinternals:


Posted: 10 February 2006 at 11:51am | IP Logged

It looks like you have something similar to Spyware.Apropos (aka Wingenerics). The name Wingenerics ain't there but it fits a similar pattern. It confuses by using random names for its folder and many files. Start with http://www.sysinternals.com/Forum/fo...s.asp?TID=2077 for other people's experiences.

Essentially you would need to reboot in safe mode and rename the hidden drivers that RKR finds in C:\WINDOWS\system32\drivers\ and C:\WINDOWS\system32\. See How to delete WinGenerics from system?

The other entries are Norton Protected Recycle, and the System Restore folders making an update.


Deckt sich wohl.

Guten Morgen!

@Sabina

Deinen Optimismus möcht ich haben.....

hier das log.file

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos\aproposfix

************

Warning: batch running in normal mode, not Safe Mode! In normal mode the fix WILL NOT WORK!

Warning: C:\WINDOWS\regedit.com present!

Registry entries found:


************

No service found!

Removing hidden folder:
No folder found!

Deleting files:


Backing up files:
Done!

Removing registry entries:

REGEDIT4


Done!

Finished!


Ich starte den PC jetzt nochmal und schau was passiert!


Danke, Suse

Ich habe gerade die Cookies gecheckt, leider sind die alten Bekannten wieder da.

*winfixer, errorsafe*

Es kam zwar noch kein PUP, aber das ist dann ja nur eine Frage der Zeit!

PC hatte ich nach aprosposfix neu gestartet.

Soll ich das fix doch mal im abgesicherten Modus starten?


Suse

hi,

also ich hab bei internetoptionen die cookie einstellung gemacht seit dem bekomme ich sie nicht mehr ob das richtig ist kann ich dir aber nicht sagen weil ich selbst so unerfahren bin.

lg

paranoit

Ich hab den abgesicherten Modus gestartet, mit aprosposfix bearbeitet, und hier ist das Resultat:

Log of AproposFix v1.1

************

Running from directory:
C:\PopUp's Hilfe\aprospos\aproposfix

************


Warning: C:\WINDOWS\regedit.com present!

Registry entries found:

[HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39]
@="y sIBaZTUUTUUVUyvvyhtlTUUTjWUukv:zULRLM7FaZU6KBO7KLUIKH3G3KIVLRL"
"Device"="\\\\.\\ROORAME"
"DriverPath"="C:\\WINDOWS\\system32\\drivers\\proanarp.sys"
"DriverName"="RTLpi32"
"HideUninstallerName"="C:\\Programme\\Xeroctor\\dmbccoin.exe"
"UninstallerPath"="C:\\WINDOWS\\system32\\lfeewdev.exe"
"UninstallerRegKey"="HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall\\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}"
"UninstallerParams"="/CTUN"
"HDll"="C:\\WINDOWS\\system32\\corsacct.dll"
"ServerAddress"="adchannel.contextplus.net"
"LegalNote"="http://adchannel.contextplus.net/legal-note/nonbranded.html"
"PartnerId"="CP.IST2"
"InstallationId"="{Xcbba2e8-a320-06f7-38cb-c1cf21dba46b}"
"PageFiltering"=dword:00000001
"ClientName"="C:\\Programme\\Xeroctor\\resping6.exe"

************

Removing hidden service:
Service RTLpi32 removed.

Removing hidden folder:
Deletion of folder Xeroctor succeeded!

Deleting files:

Deletion of file C:\WINDOWS\system32\drivers\proanarp.sys succeeded!
Deletion of file C:\WINDOWS\system32\odfbjsel.exe succeeded!
Deletion of file C:\WINDOWS\system32\corsacct.dll succeeded!
Deletion of file C:\WINDOWS\system32\lfeewdev.exe succeeded!

Backing up files:
Done!

Removing registry entries:

REGEDIT4

[-HKEY_CURRENT_USER\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C6A6E1E2-64CF-4DC2-BBAA-34ECCA4E2E7C}]

Done!

Finished!

Ich hab zwar keine Ahnung, aber das sieht schon besser aus als das erste, finde ich......

Weiterer Bericht folgt!

Gruss, Suse

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\S-1-5-21-2255585776-910089136-1440489552-1007\Software\CvTVsADtcN39]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}]

---------------------------------------------------------------------------------------------------------

Den folgenden Text in den Editor kopieren und als fix.bat
Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an

@ECHO OFF

attrib -s -r -h C:\WINDOWS\system32\drivers\proanarp.sys
attrib -s -r -h C:\WINDOWS\pvcqN
attrib -s -r -h C:\WINDOWS\system32\odfbjsel.exe
attrib -s -r -h C:\WINDOWS\system32\ODFBJSEL.lgg
attrib -s -r -h C:\Programme\Xeroctor\Cache\dns
attrib -s -r -h C:\Programme\Xeroctor\Cache\index
attrib -s -r -h C:\Programme\Xeroctor\Cache
attrib -s -r -h C:\Programme\Xeroctor\data.bin
attrib -s -r -h C:\Programme\Xeroctor\dmbccoin.exe
attrib -s -r -h C:\Programme\Xeroctor\PDXUTJADCPC.dll
attrib -s -r -h C:\Programme\Xeroctor\resping6.exe
attrib -s -r -h C:\Programme\Xeroctor\resping6.lgg
attrib -s -r -h C:\Programme\Xeroctor\WAI.dll
attrib -s -r -h C:\Programme\Xeroctor
del C:\WINDOWS\system32\drivers\proanarp.sys
del C:\WINDOWS\pvcqN
del C:\WINDOWS\system32\odfbjsel.exe
del C:\WINDOWS\system32\ODFBJSEL.lgg
del C:\Programme\Xeroctor\Cache
del C:\Programme\Xeroctor\Cache\dns
del C:\Programme\Xeroctor\Cache\index
del C:\Programme\Xeroctor\data.bin
del C:\Programme\Xeroctor\dmbccoin.exe
del C:\Programme\Xeroctor\PDXUTJADCPC.dll
del C:\Programme\Xeroctor\resping6.exe
del C:\Programme\Xeroctor\resping6.lgg
del C:\Programme\Xeroctor\WAI.dll
del C:\Programme\Xeroctor
exit

------------------------------------------------------------------------------------------

In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet)

- Die fix.bat Datei auf dem Desktop doppelklicken.
- Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen)

dann scanne noch mal mit Rootkitrevealer

---------------------------------------------------------------------------------
dann folgendes: hast du eine Realtek -Netzwerkkarte ? Es ist wichtig zu wissen, ehe wir irgendeinen Dienst loeschen.

die beiden kopiert und gspeichert.


- Die Datei "fixme.reg" auf dem Desktop doppelklicken (und der Registry beifuegen)

wie macht man das?

--------------------------------

Netzwerkadapter (Systemsteuerung - Hardware):

-1394-Netzwerkadapter

-Realtek RTL 1839/810x Family Fast Ethernet NIC

----------------------------------------------------

Bis jetzt kein PUP mehr!

Suse