Hallo!
habe ein großes problem! bei mir schliessen manche programme automatisch nach dem ich sie gestartet habe, z.b bei emule und brennsoft! und zusätlich verschwindet alle 15-20min. komplett meine taskleiste und ladet neu wobei dann manche tasksympole nicht mehr angezeigt werden!(explorer.exe ladet sich immer neu) kann mir jemand helfen?? hier ist die hijack log datei


Logfile of HijackThis v1.99.1
Scan saved at 16:43:30, on 21.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\rundll32.exe
G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\Programme\NetLimiter\NetLimiter.exe
G:\Programme\AVPersonalPremium\AVGNT.EXE
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
C:\Program Files\SpySheriff\SpySheriff.exe
G:\Programme\AVPersonalPremium\AVGUARD.EXE
G:\Programme\AVPersonalPremium\AVESVC.EXE
G:\Programme\AVPersonalPremium\AVWUPSRV.EXE
G:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
G:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
G:\Programme\AVPersonalPremium\AVMAILC.EXE
G:\Programme\Raxco\PerfectDisk\PDSched.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\WINDOWS\explorer.exe
C:\Progz\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NetLimiter] G:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "G:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] G:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [eMuleAutoStart] G:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Startup: AntiVir Guard.lnk = G:\Programme\AVPersonalPremium\AVGNT.EXE
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - G:\Programme\ANYCOM\Blue USB-120-240\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - G:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "G:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: extxerox - G:\WINDOWS\SYSTEM32\extxerox.dll
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - G:\Programme\AVPersonalPremium\AVMAILC.EXE
O23 - Service: AntiVir PersonalEdition Premium Service (AntiVirService) - AntiVir PersonalProducts GmbH - G:\Programme\AVPersonalPremium\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - G:\Programme\AVPersonalPremium\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - G:\Programme\ANYCOM\Blue USB-120-240\bin\btwdins.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - G:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - G:\Programme\Sunbelt Software\Personal Firewall 4\kpf4ss.exe
O23 - Service: PDEngine - Raxco Software, Inc. - G:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - G:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - G:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - G:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - G:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - G:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe



1000 dank im voraus

Hallo,
scanne dein System mal mit F-Secure Blacklight und poste das Log (wird nach dem scan automatisch im selben Pfad erstellt fsbl**.txt).

Außerdem scannst du noch mit Rootkitrevealer uns postest auch dieses Log (File>>Save)
Achte darauf während dem Scan nichts anderes zu machen, und auch möglichst keine anderen Programme im Hintergrund laufen zu lassen.


Grüße Wildone

rootkit ist noch am scanen aber der andere link(blacklight) funktioniert nicht!!!!

Hallo,
ich habe doch extra gesagt du sollst nichts nebenher machen wenn Rootkitrevealer scannt, und jetzt postest du hier.

Und was heißt funktioniert nicht, download funktioniert nicht? Scan funktioniert nicht? Fehlermeldung?


Grüße Wildone

Error! The requested page do not exist

Hallo,
versuche es noch mal mit dem Link zum Direktdownload.
Funktioniert es dann?


Grüße Wildone

die selbe fehlermeldung!!!!

Hallo,
versuch es mal hier.
Funktioniert es da?
Kannst du mal einen Screenshot von der Fehlermeldung posten?

Achja, und benutze bitte nicht meherer Ausrufezeichen hinereinander, ich hasse das.

Grüße Wildone

ja hat funktioniert!!!!
jetzt ist aber mein rootkit beim speichern der log file abgestüzt!!! was nun??? bist du heute abend auch online???

Hallo,
ja wahrscheinlich schon.
Aber lass mal Blacklight noch kurz laufen das dauert nur ein paar Sekunden.

Dann nochmal Rootkitrevealer aber dieses mal machst du wirklich nichts nebenher!


Grüße Wildone

hier ist die blacklight log file

03/21/06 17:31:50 [Info]: BlackLight Engine 1.0.32 initialized
03/21/06 17:31:50 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/21/06 17:31:51 [Note]: 7019 4
03/21/06 17:31:51 [Note]: 7005 0
03/21/06 17:31:55 [Note]: 7006 0
03/21/06 17:31:56 [Note]: 7011 3012
03/21/06 17:31:56 [Note]: FSRAW library version 1.7.1015
03/21/06 17:32:39 [Info]: Hidden file: G:\WINDOWS\system32\extxerox.dll
03/21/06 17:32:39 [Note]: 10002 1
03/21/06 17:32:44 [Info]: Hidden file: G:\WINDOWS\system32\socket573.sys
03/21/06 17:32:44 [Note]: 10002 1
03/21/06 17:33:37 [Note]: 7007 0

ich poste die rootkit log heute abend, bzw. in 2 stunden ungefähr

Hallo,
erstmal, du wirst deinen Rechner neu aufsetzen müssen, da du ein Rootkit auf dem System hast. Dieses gräbt sich so tief ein (es war übrigens wohl auch ein externes Programm das die Fehlermeldung ausgegeben hat!) das man es nicht beseitigen kann.
Wahrscheinlich hast du dir es über Cracks oder ähnliches geholt.
Mich würde jetzt noch interessieren was für Malware es genau ist, benenne mal die beiden Dateien:
G:\WINDOWS\system32\extxerox.dll
G:\WINDOWS\system32\socket573.sys
mit der "Rename" Funktion von Blacklight um (Neustart) und lade dann die beiden Dateien:
G:\WINDOWS\system32\extxerox.dll.ren
G:\WINDOWS\system32\socket573.sys.ren

hier hoch und poste das Ergebnis.


Grüße Wildone

Habe die 2 dateien einfach umbenannt mit blacklight, einen neustart durchgeführt und jetzt geht alles so, als wäre nie etwas gewesen!
Oder trügt der Schein??

Trotzdem 1000 Dank für deine bemühungen!! Vielen Dank

Gruß greatone

Hallo,
der Schein trügt, wenn du wüßtest was ein Rootkit ist kämst du auch gar nicht auf die Idee das jetzt wieder alles in Ordnung ist. Es wurden alle Anfragen deines Computers in einer niedrigeren Ebene umgeleitet und beliebig modifiziert wieder ausgegeben. Kannst du die Dateien noch hochladen, da das Rootkit recht neu zu sein scheint und mich interessiert ob es die AV Hersteller überhaupt schon erkennen.
Wenn du ein nur halbwegs vertrauenswürdiges System haben willst wirst du an einem Neuaufsetzen nicht vorbei kommen.



Grüße Wildone