RootKit
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZKPE3ON\ab[2].htm 22.03.2006 21:36 7 bytes Hidden from Windows API.

BlackLight --> keine Funde
03/22/06 21:20:47 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 21:20:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/22/06 21:20:47 [Note]: 7019 4
03/22/06 21:20:47 [Note]: 7005 0
03/22/06 21:20:55 [Note]: 7006 0
03/22/06 21:20:55 [Note]: 7011 488
03/22/06 21:20:55 [Note]: FSRAW library version 1.7.1015
03/22/06 21:21:54 [Note]: 7007 0

Hallo,
also ein Rootkit scheint ihr nicht zu haben. Wenigestens etwas positives, wenn auch auf niedrigem Niveau.



Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
Es hat auch niemand von euch ein vermeintliches Antispywareprogramm installiert, oder? Videocodec auch nicht? Nur von google kann es eigentlich nicht kommen. Könnt ihr mal schauen ob in der Datei C:\WINDOWS\system32\drivers\etc\Hosts (mit dem Editor öffnen) irgendetwas von google drin steht)?

- kein neues Antispyware (nur seit langem schon SpyBot)
- keinen Videocodec

In der angesprochenen Datei steht nach dem Einleitungstext 3 mal der selbe Eintrag (eine IP-Adresse und dahinter localhost).

Hallo,
dann habe ich keine Ahnung woher ihr das haben könntet. Browserlücke wäre zwar immernoch mein Tipp, aber eigentlich passiert sowas nur auf unseriösen Seiten. Naja mal abwarten was die AV-Hersteller zu euren eingeschickten Dateien meinen.


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
dann habe ich keine Ahnung woher ihr das haben könntet. Browserlücke wäre zwar immernoch mein Tipp, aber eigentlich passiert sowas nur auf unseriösen Seiten. Naja mal abwarten was die AV-Hersteller zu euren eingeschickten Dateien meinen.


Grüße Wildone

Wo, oder Wann wurden wählche MawareSAMPLES verschickt, ich kan das im momment nicht richti herauslesen aus euren postings....?!

THN

Hallo,
in diesem Thread z.B. #18 außerdem wohl noch die TE.


Grüße Wildone

HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341\ProductName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 22.03.2006 21:33 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}\DisplayName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40 22.03.2006 20:15 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf41 14.11.2005 23:28 0 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F4T5NO8G\ab[1].htm 22.03.2006 21:45 7 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAAOV34Q\ab[1].htm 22.03.2006 16:38 7 bytes Visible in Windows API, but not in MFT or directory index.

Zitat:

Zitat von BassmentJaxx

HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341\ProductName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 22.03.2006 21:33 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}\DisplayName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40 22.03.2006 20:15 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf41 14.11.2005 23:28 0 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F4T5NO8G\ab[1].htm 22.03.2006 21:45 7 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAAOV34Q\ab[1].htm 22.03.2006 16:38 7 bytes Visible in Windows API, but not in MFT or directory index.

Welches Av Programm hat das dir das angezeigt ?

THN

Zitat:

Zitat von Skelo

- kein neues Antispyware (nur seit langem schon SpyBot)
- keinen Videocodec

In der angesprochenen Datei steht nach dem Einleitungstext 3 mal der selbe Eintrag (eine IP-Adresse und dahinter localhost).

ich auch nich....

bei mir steht das:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost

Zitat:

Welches Av Programm hat das dir das angezeigt ?

RootRevealer^^

Hallo,
auch dieses Rootkitrevealer Log sieht harmlos aus. Genau wie die Hosts Datei. "Kinners" ich weiß einfach nicht wie ihr euch das eingefangen habt.



Grüße Wildone

Habe den Ewido Online Scan gemacht: --> Keine Funde!

Scanne jetzt gerade mit a2 und während dem Scannen hat mir der Guard gesagt, dass das Programm taskdir.exe versucht versteckt Dateien aus dem Internet zu laden. Trotzdem wird am Ende gesagt, es wurde nichts gefunden.

Was mache ich jetzt mit der taskdir.exe? Löschen kann ich sie nicht, die ist nach jedem Neustart wieder da.

Hoffe dass morgen im Laufe des Tages mehr Informationen über die Dateien bekannt werden.

Zitat:

Zitat von BassmentJaxx

ich auch nich....

bei mir steht das:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost



RootRevealer^^

Ok Ich habe verstanden.

THN

Zitat:

Zitat von Wildone

Hallo,
auch dieses Rootkitrevealer Log sieht harmlos aus. Genau wie die Hosts Datei. "Kinners" ich weiß einfach nicht wie ihr euch das eingefangen habt.

Wäre ich jetzt der Einzige gewesen, der diesen Dreck so seltsam bekommen hat, würde ich schon an mir selber zweifeln. Da aber mindestens ein 2. genau auf die selbe Weise infiziert worden ist, muss es ja irgendwie gegangen sein.

Naja, ich danke mal allen für die Hilfe und gehe jetzt ins Bett. Hoffentlich gibt es morgen mehr Informationen.

Hallo,
lösche mal mit killbox die Dateien:
22.03.2006 17:04 46.592 zlbw.dll
22.03.2006 15:39 51.094 taskdir.exe
22.03.2006 15:39 51.094 parad.raw.exe
22.03.2006 15:39 7.095 voblaizdupla.exe

on reboot.
Aber ich betone das wenn Zugriff dritter auf das system erfolgt ist die einzig sichere Variante ein Neuaufsetzen ist.


Grüße Wildone

@ Skelo

Du kanst auch diese Onlinscans duchrarbeiten...

Linkk dazu: http://www.johannrain-softwareentwicklung.de/online_virensuche.htm

THN