Schick die Datei mal zur analyse an Antivir oder/und Kaspersky.
Und natürlich system auf jeden fall neu aufsetzen da das ja ein ganz aggressiver Bursche ist. Ich denke da hat der Versuch die Einträge zu fixen keinen Sinn mehr.

Zitat:

Zitat von dani2112

Schick die Datei mal zur analyse an Antivir oder/und Kaspersky.

Die Datei wird automatisch, sofern sie bei Virustotal ausgewertet wurde an die Herrsteller geleitet.

Zitat:

Ich denke da hat der Versuch die Einträge zu fixen keinen Sinn mehr.

Gibt ja auch in dem Log nichts mehr zu fixen, abgesehen von den regulären Einträgen.

@billted

Welche Datei hast du denn bei Virustotal auswerten lassen? Aus dem Log kann ich keinen Schädling entdecken?!

Überprüfe dein System mal mit eScan sowie F-Secure Blacklight.

Poste anschliessend die Ergebnisse.

Gruß
Sunny

anbei die gewünschten Logs . Das infizierte System ist auf einer Wechselplatte die ich nur noch alleine und ohne Netzwerk starte. das Programm sollte Silverjuke sein, jedoch scheint dies eine Fakedatei zu sein, da das Orginal Programm viermal so groß ist. Die Datei lässt sich auf dem infizierten system nicht mehr starten. Warum auch hat ihr Werk ja schon volbracht. Der Virus läuft immer noch im Hintergrund. Mich wundert das er sich so gut tarnt, und das z.B. Mcafee noch nicht mal was merkt. Das Verhalten ist dem Beagle sehr ähnlich jedoch viel besser verschleiert.






01/06/07 23:05:25 [Info]: BlackLight Engine 1.0.55 initialized
01/06/07 23:05:25 [Info]: OS: 5.0 build 2195 (Service Pack 4)
01/06/07 23:05:25 [Note]: 7019 4
01/06/07 23:05:25 [Note]: 7005 0
01/06/07 23:05:27 [Note]: 7006 0
01/06/07 23:05:27 [Note]: 7011 1216
01/06/07 23:05:28 [Note]: 7026 0
01/06/07 23:05:28 [Note]: 7026 0
01/06/07 23:05:28 [Note]: 7024 3
01/06/07 23:05:28 [Info]: Hidden process: C:\WINNT\system32\hldrrr.exe
01/06/07 23:05:31 [Note]: FSRAW library version 1.7.1021
01/06/07 23:05:32 [Info]: Hidden file: c:\Dokumente und Einstellungen\klaus\Anwendungsdaten\hidires\hidr.exe
01/06/07 23:05:32 [Note]: 10002 2
01/06/07 23:05:32 [Info]: Hidden file: c:\Dokumente und Einstellungen\klaus\Anwendungsdaten\hidires\m_hook.sys
01/06/07 23:05:32 [Note]: 10002 2
01/06/07 23:05:33 [Note]: 10002 3
01/06/07 23:05:33 [Note]: 10002 3
01/06/07 23:05:33 [Note]: 10002 2
01/06/07 23:05:33 [Note]: 10002 2
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\cleanup.ini
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\dunzip32.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcappins.exe
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcappins.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mccomctl.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mccomctl.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mcinsres.dll
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mghtml.exe
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Info]: Hidden file: c:\Programme\McAfee.com\Shared\mghtml.inf
01/06/07 23:06:38 [Note]: 10002 3
01/06/07 23:06:38 [Note]: 10002 2
01/06/07 23:06:38 [Note]: 10002 2
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 3
01/06/07 23:06:39 [Note]: 10002 2
01/06/07 23:06:39 [Note]: 10002 2
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\01.05.0000.1009\de\marketstrings.cab
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\01.05.0000.1009\de\mkttools.dll
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Info]: Hidden file: c:\Programme\MSN Apps\Shared\unicows.dll
01/06/07 23:06:44 [Note]: 10002 3
01/06/07 23:06:44 [Note]: 10002 2
01/06/07 23:06:44 [Note]: 10002 2
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 3
01/06/07 23:07:21 [Note]: 10002 2
01/06/07 23:07:21 [Note]: 10002 2
01/06/07 23:09:01 [Info]: Hidden file: C:\WINNT\system32\hldrrr.exe
01/06/07 23:09:01 [Note]: 10002 2
01/06/07 23:09:41 [Note]: 2000 1012
01/06/07 23:38:48 [Note]: 7007 0


Gruß

Ted

Hierbei geht es mehr als um einen Virus!

Es geht in deinem Fall um ein Rootkit was in deinem System installiert ist!
Deshalb erkennt auch kein AV-Scanner diesen Einbruch!

Zitat:

Dieses wird nach einem Einbruch in ein Computersystem auf dem kompromittierten System installiert, um zukünftige Logins des Eindringlings zu verbergen, Prozesse und Dateien zu verstecken.

Zusätzlich wurden mehrere BackdoorTrojaner (welche wahrscheinlich die Ursache für den Einbruch waren!) gefunden.

Ich kann dir nur schleunigst raten das System vom Internet zu trennen und eine Neuinstallation in Angriff zu nehmen!
Ändere danach auch alle Passwörter und Einstellungen...
Das ist die einzigste und sicherste Möglichkeit dein System zu breinigen!

Eine andere Möglichkeit ist ausgeschlossen.

Gruß
Sunny

Wie ich schon sagte arbeite ich schon mit einer Neuinstallation.
Das System war nach dem abschalten der Firewall nur für einen Onlinescann online.
Zwischen Rechner und Internet ist noch ein Router mit Firewall.
Woran hast du erkannt das dies ein Rootkit ist und nun muss ich auch gleich fragen wie schützt man sich davor?. Da ich die verseuchte Platte ja noch nicht formatiert habe könnte ich ja noch ein paar Tests machen um herauszufinden was das ist. Nur womit, will jetzt nicht einfach jeden Scanner downloaden, brennen, Platte wechseln und anschliesend installieren.


Gruß Ted

Wie du dir den Schädling eingefangen hast kann ich dir auch nicht sagen.
Vielleicht durch schon infizierte Dateien oder Programm die du nachträglich installiert hast?!

Ich zeige dir was alles in deinem System sitzt:

W32/Bagle-KJ
W32.Beagle.DZ.
Trojan.Tooso.R

Dein McAfee sollte auch infiziert sein, so sagt es zumindest Blacklight.

Gruß
Sunny

Habe gerade mein Neues System gescannt (Log ist unten ). Da fast Zeitgleich nach dem öffnen der Besagten Datei die Firewall runtergefahren ist glaube ich schon das dies von doert kommt. Der Onlinescan bei Dr. Web und Co. bestätigen dies ja auch und wenn man unter Beagle nachliest kommt ja genau das was das System macht. Da ich aber noch einen Rechner habe (den meiner Freundin 3 * im jahr online ) vertraue ich dem nicht mehr. Für mich war eine Firewall ein Scanner und die Firewall des Routers eigentlich sicher genug. War wohl ein Irrtum (klopf auf die Finger und schreibe 100mal „du sollst keine Fremden Dateien öffnen“)
Als das Log von HijackThis auch nix zeigte war ich immer noch der Meinung nichts eingefangen zu haben. Wuste zwar das dies nicht stimmt jedoch hatte ich keine Ahnung mehr.
Wie hast du anhand des Scans von Blacklight erkannt was los ist. Kann man so etwas nachlesen oder FAQ oder oder.

Möchte mich schon jetzt mal für die herzliche und kompetente Hilfe bedanken die ich hier bekomme. Einfach super. Nochmals Dank.

01/07/07 12:23:06 [Info]: BlackLight Engine 1.0.55 initialized
01/07/07 12:23:06 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/07/07 12:23:07 [Note]: 7019 4
01/07/07 12:23:07 [Note]: 7005 0
01/07/07 12:23:11 [Note]: 7006 0
01/07/07 12:23:11 [Note]: 7011 3084
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:12 [Note]: 7026 0
01/07/07 12:23:22 [Note]: FSRAW library version 1.7.1021
01/07/07 12:27:41 [Note]: 2000 1012