Hi Leute

zunächst Hallo alle zusammen, Ich bin der neue mit einem Problem wobei ich ein wenig Hilfe gebrauchen kann.

ich habe mir den Rootkit Revealer runtergeladen , da ich den Verdacht habe, dass mit meinem PC etwas nicht stimmt.

der RootkitRevealer hat auch 4 Sachen gefunden, die ich selber nicht kenne
und beim Googlen keine Informationen dazu gefunden habe.

ich weiss, das es in diesem Forum um HijackThis dreht, aber vielleicht erbarmt sich ein er vone euch mir auf die Sprünge zuhelfen.



LOGFILE RookitRevealer
----------------------

HKLM\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\63079CF85654996380B663ED55AD8BD0B53FC241\Blob 14.07.2006 10:26 1.11 KB Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 25.05.2006 12:38 0 bytes Access is denied.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\c94.D011AA6201C6A71F.history\00000000.bak 14.07.2006 10:32 4.00 MB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.07.2006 20:50 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.07.2006 20:50 111.50 KB Visible in Windows API, but not in MFT or directory index.


Danke euch allen

@candelaver

Hallo,

erstell als erstes mal ein HijackThis, dann nutze zusätzlich F-Secure Blacklight und anschliessend einen eScan!
Wenn du alle Logs postest, kann man vielleicht mehr dazu sagen..

(wie kommst du eigentlich darauf das gerade du infiziert bist, und dann noch vor allem mit einem "Rootkit"?)

Gruß
Daniel

@Sunny

Danke dir für den Tip.
Die logs folgen.

@sunny

anbei auszüge aus dem Logfile von eScan.
habe den Rechner komplett gescannt, nur 2 Sachen wurden gefunden.

eScan Logfile - Auszug
----------------------
Sat Jul 15 09:45:42 2006 => ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\PavSRK.sys in SYSTEM\CurrentControlSet\Services\PavSRK.sys...
Sat Jul 15 09:45:32 2006 => ***** C:\WINDOWS\System32\Drivers\dtscsi.sys File Locked!!! Scanning may fail...
Sat Jul 15 09:45:47 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Jul 15 09:45:47 2006 => Loading Spyware Signatures from new External Database (Size: 161733).
Sat Jul 15 09:45:49 2006 => Indexed Spyware Databases Successfully Created...

Sat Jul 15 09:45:58 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule
Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.

Sat Jul 15 09:46:06 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\emule
Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.


rest folgt

HijackThis Logfile
----------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:31:46, on 15.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\eigene\Firefox\firefox.exe
C:\Programme\eigene\FlashFXP\flashfxp.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\WINDOWS\system32\mmc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\eigene\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\eigene\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BV.exe
O23 - Service: M - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\M.exe
O23 - Service: SQL Server-Volltextsuche (SQLBASE) (msftesql$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:SQLBASE (file missing)
O23 - Service: SQL Server (SQLBASE) (MSSQL$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLBASE (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Also das Hijacklog sieht meiner Ansicht nach sauber aus.

Nur bei deinem eScan habe ich einen Verdacht:

Zitat:

C:\WINDOWS\system32\PavSRK.sys

Dabei könnte es sich um einen Trojaner handeln, lass also die Datei mal hier auswerten --> Virustotal

Diese Datei hingegen:

Zitat:

C:\WINDOWS\System32\Drivers\dtscsi.sys

.. ist in Ordnung, gehört entweder zu deinem SQL bzw. einem Kerneltreiber.
(z.B. für Festplatten)

Zitat:

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule

@Sunny

ich würde noch gerne über deinen Verdacht von dir lesen, da mich diese Thematik brennend Interessiert.

egal, was ich ich noch im Nachhinein versucht hatte, die Internetleistung ging immer wieder rapide in den Keller.

ich habe mich dazu entschieden, den Rechner neu aufzusetzen.



Jedenfalls ist dieses Board Klasse und ich werde hier eine Menge dazulernen, um meinem REchner sicherer zu machen.

dir ein dickes Dankeschön für deine Hilfe.

Gruss Candelaver

@SUnny

ist reine Vermutung. Mein Internet 6 Mbit ist so lahmarschig geworden, das eben etwas nciht stimmen kann.

Inzwischen habe ich mein Sstem neu aufgesetzt und wieder nix.
ich habe ISH als Provider und ich hatte die ganze Zeit ein Höllentempo gehabt.

Seit ca. 10 Tagen Pustekuchen, es wird immer lahmer.

komisch ist es vorallem, das es jetzt bei einem Neuinstalliertem Rechner auch so ist.

mfg
Candelaver

@SUnny

ist reine Vermutung. Mein Internet 6 Mbit ist so lahmarschig geworden, das eben etwas nciht stimmen kann.

Inzwischen habe ich mein Sstem neu aufgesetzt und wieder nix.
ich habe ISH als Provider und ich hatte die ganze Zeit ein Höllentempo gehabt.

Seit ca. 10 Tagen Pustekuchen, es wird immer lahmer.

komisch ist es vorallem, das es jetzt bei einem Neuinstalliertem Rechner auch so ist.

mfg
Candelaver




Hijack This Log
---------------
Logfile of HijackThis v1.99.1
Scan saved at 11:48:09, on 16.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\EIGENE\FIREFOX\FIREFOX.EXE
C:\Programme\eigene\FlashFXP\flashfxp.exe
C:\DOKUME~1\Donny\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O4 - HKLM\..\Run: [kav] "C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1293E535-D4A9-4DF4-A155-C9F0DEFCCA91}: NameServer = 192.168.235.1
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

-------------------------------------------------------

Teste deine Verbindung mal hier --> http://www.wieistmeineip.de/speedtest/

Ansonsten wende dich mal an deinen Service Provider.
Hatte das gleiche Problem, hab den DSL4000 Turbo, und einen Download von maximal 250kb/s, also rief ich bei meinem ISP an, man sagte mir "huuuch", sie stehen hier nur mit DSL2000 Turbo drinnen, wir schalten ihnen mal eben einen Port noch frei!!! Schon hatte ich nen Download von 480kb/s ...

Gruß
Daniel

habe mich heute mit ISH auseinander gesetzt. Die leitung ist 6 Mbit und soll nach Fernüberprüfung in Ordnung sein.

Sowohl Notebook (Wlan) und PC sind lahmarschig im Internet.
Der PC und das Notoebook sind neu aufgesetzt somit kaum Ballast und unnötiges
Zeugs ausser Microsoft :-).

Morgen früh soll eich Techniker hier Vorort nach sehen und mal die Leitung testen.

@Daniel

Jepp, es war so ähnlich, es lag an meinem Anbieter.
die haben durch einen Montage Fehler einen Leistungsabfall
gehabt. Die habe heute diesen Fehler behoben und sieh da :-)

mfg
Candelaver