Hi Leute

zunächst Hallo alle zusammen, Ich bin der neue mit einem Problem wobei ich ein wenig Hilfe gebrauchen kann.

ich habe mir den Rootkit Revealer runtergeladen , da ich den Verdacht habe, dass mit meinem PC etwas nicht stimmt.

der RootkitRevealer hat auch 4 Sachen gefunden, die ich selber nicht kenne
und beim Googlen keine Informationen dazu gefunden habe.

ich weiss, das es in diesem Forum um HijackThis dreht, aber vielleicht erbarmt sich ein er vone euch mir auf die Sprünge zuhelfen.



LOGFILE RookitRevealer
----------------------

HKLM\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\63079CF85654996380B663ED55AD8BD0B53FC241\Blob 14.07.2006 10:26 1.11 KB Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 25.05.2006 12:38 0 bytes Access is denied.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\c94.D011AA6201C6A71F.history\00000000.bak 14.07.2006 10:32 4.00 MB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.07.2006 20:50 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.07.2006 20:50 111.50 KB Visible in Windows API, but not in MFT or directory index.


Danke euch allen

@candelaver

Hallo,

erstell als erstes mal ein HijackThis, dann nutze zusätzlich F-Secure Blacklight und anschliessend einen eScan!
Wenn du alle Logs postest, kann man vielleicht mehr dazu sagen..

(wie kommst du eigentlich darauf das gerade du infiziert bist, und dann noch vor allem mit einem "Rootkit"?)

Gruß
Daniel

@Sunny

Danke dir für den Tip.
Die logs folgen.

@sunny

anbei auszüge aus dem Logfile von eScan.
habe den Rechner komplett gescannt, nur 2 Sachen wurden gefunden.

eScan Logfile - Auszug
----------------------
Sat Jul 15 09:45:42 2006 => ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\PavSRK.sys in SYSTEM\CurrentControlSet\Services\PavSRK.sys...
Sat Jul 15 09:45:32 2006 => ***** C:\WINDOWS\System32\Drivers\dtscsi.sys File Locked!!! Scanning may fail...
Sat Jul 15 09:45:47 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Jul 15 09:45:47 2006 => Loading Spyware Signatures from new External Database (Size: 161733).
Sat Jul 15 09:45:49 2006 => Indexed Spyware Databases Successfully Created...

Sat Jul 15 09:45:58 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule
Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.

Sat Jul 15 09:46:06 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\emule
Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.


rest folgt

HijackThis Logfile
----------------------

Logfile of HijackThis v1.99.1
Scan saved at 18:31:46, on 15.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\WINDOWS\system32\cmd.exe
C:\Programme\eigene\Firefox\firefox.exe
C:\Programme\eigene\FlashFXP\flashfxp.exe
C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001
C:\WINDOWS\system32\mmc.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\eigene\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\eigene\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BV.exe
O23 - Service: M - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\M.exe
O23 - Service: SQL Server-Volltextsuche (SQLBASE) (msftesql$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:SQLBASE (file missing)
O23 - Service: SQL Server (SQLBASE) (MSSQL$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLBASE (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Also das Hijacklog sieht meiner Ansicht nach sauber aus.

Nur bei deinem eScan habe ich einen Verdacht:

Zitat:

C:\WINDOWS\system32\PavSRK.sys

Dabei könnte es sich um einen Trojaner handeln, lass also die Datei mal hier auswerten --> Virustotal

Diese Datei hingegen:

Zitat:

C:\WINDOWS\System32\Drivers\dtscsi.sys

.. ist in Ordnung, gehört entweder zu deinem SQL bzw. einem Kerneltreiber.
(z.B. für Festplatten)

Zitat:

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule