Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne
Rootkit eingefangen?

Rootkit eingefangen?


Mülltonne: Rootkit eingefangen?

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 14.01.2007, 19:47   #1
nazca
 
Rootkit eingefangen? - Standard

Rootkit eingefangen?


Vorweg: habe jetzt in den letzten 5 Monaten mein System (Win2k) viermal neu aufgesetzt (mit Formatierung) und vermutlich immer wieder über gespeicherte Backups den "Schädling" wieder eingefangen. Ist aber absolut nicht klar.
Symptome: wenn ich im abgesicherten Modus starte, dann zeigt der Bildschirm beim Hochfahren vor dem Einloggen blinkende Zeichen (ASCII-Zeichensatz im Modus 80x25 oder so), beim laufenden System wird der Bildschirm plötzlich mit "wurmartigen" Störungen überzogen, d.h. ich kann dann nix mehr lesen und meine zweite Festplatte fährt plötzlich in die Startposition mit einem lauten Klack und der Rechner läßt sich nicht mehr hochfahren. Habe mit verschiedenen Mitteln versucht dem beizukommen (z.B. zweite Festplatte rausgenommen und neu formatiert u.a.) und schließlich das System neu aufgesetzt. Trotzdem habe ich bis heute immer wieder die gleichen Symptome bekommen, nachdem es einige Zeit wieder lief. Hardware-Fehler sind eigentlich auszuschließen.

Aber worauf es mir jetzt im Moment ankommt. Ich möchte mal ein Hijack Log posten mit dem jetzigen Stand der Dinge:

Logfile of HijackThis v1.99.1
Scan saved at 13:03:59, on 14.01.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
E:\trueImage\TrueImageMonitor.exe
E:\trueImage\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
E:\tools\hijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\acrobatReader708\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINNT\System32\sw20.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\trueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] E:\trueImage\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TrayServer] E:\videoDeluxe2007\TrayServer.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O20 - Winlogon Notify: !SASWinLogon - E:\tools\superAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: JJPNTZF - Sysinternals - www.sysinternals.com - F:\TEMP\JJPNTZF.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Das einzige, was mir Sorgen bereitet ist die JJPNTZF.exe. Habe festgestellt, daß nach jeder Einwahl ins Internet ein neuer Dienst mit gleichem Namen (ohne exe) mit Starteigenschaft "manuell" eingetragen wird. Dazu korrespondiert diese Datei. Habe den Dienst deaktiviert und den Eintrag im Hijacker entfernt. Ein Löschen der Datei war allerdings nicht möglich, kommt immer wieder. Das war nicht die einzige Datei dieser Art, vorher hatte ich das gleiche mit anderen Namen:

h.exe
jimqko.exe
svrb.exe

Habe die JJPNTZF.exe mal bei Virus total checken lassen. Folgendes Ergebnis:

Complete scanning result of "JJPNTZF.exe", received in VirusTotal at 01.14.2007, 18:54:29 (CET).
Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.936.0 01.13.2007 no virus found
AVG 386 01.13.2007 no virus found
BitDefender 7.2 01.14.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.14.2007 no virus found
DrWeb 4.33 01.14.2007 no virus found
eSafe 7.0.14.0 01.14.2007 no virus found
eTrust-InoculateIT 23.73.113 01.13.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.14.2007 no virus found
Fortinet 2.82.0.0 01.13.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.14.2007 no virus found
McAfee 4938 01.12.2007 no virus found
Microsoft 1.1904 01.14.2007 no virus found
NOD32v2 1978 01.14.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.14.2007 no virus found
Prevx1 V2 01.14.2007 no virus found
Sophos 4.13.0 01.13.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.148 01.14.2007 no virus found
UNA 1.83 01.12.2007 no virus found
VBA32 3.11.2 01.14.2007 no virus found
VirusBuster 4.3.19:9 01.14.2007 no virus found

Aditional Information
File size: 359296 bytes
MD5: fbc8713e03c477431f1fb0496186e59e
SHA1: a4cfd3fcc3f01d4e9f8aa82dab88a6ae8a15f621
packers: BINARYRES

Was habe ich mir da eingefangen? Wirklich ein Rootkit? Bevor ich alles nochmal neu aufsetze, möchte ich dem jetzt erstmal auf den Grund gehen.

Danke für eure Mühe.

Alt 15.01.2007, 00:17   #2
GUA
entlassen
 
Rootkit eingefangen? - Cool

Rootkit eingefangen?


doppelt gemoppelt

GUA
__________________
 

Themen zu Rootkit eingefangen?
abgesicherten modus, adobe, antivir, avg, avira, bho, bildschirm, dll, explorer, festplatte, helper, hijack, hijackthis, immer wieder, internet, internet explorer, magix, neu aufgesetzt, nicht möglich, nvidia, rootkit, rootkit?, rundll, schädling, software, störungen, superantispyware, system, system neu, temp, usb, virus, virus total, windows


« Bitte helfen | Bitte durchsehen »


Ähnliche Themen: Rootkit eingefangen?


  1. Unknowen.RootKit.VBR eingefangen! Was nun?
    Log-Analyse und Auswertung - 20.03.2014 (12)
  2. ihavenet Rootkit eingefangen
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (7)
  3. Rootkit eingefangen?
    Log-Analyse und Auswertung - 09.02.2012 (9)
  4. LNK exploit oder Zero Acsess rootkit eingefangen
    Plagegeister aller Art und deren Bekämpfung - 03.08.2011 (1)
  5. Rootkit Virus eingefangen? Bewertung GMER Logfile
    Log-Analyse und Auswertung - 17.12.2010 (9)
  6. Rootkit Win32.TDss eingefangen :( (Malware)
    Plagegeister aller Art und deren Bekämpfung - 06.11.2010 (1)
  7. evt. rootkit eingefangen(agent), was tun?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2010 (4)
  8. Rootkit eingefangen. PC fährt eigenständig runter. Keine genaue Lokalisierung möglich.
    Log-Analyse und Auswertung - 31.08.2010 (13)
  9. 2 Trojaner eingefangen TR/Inject.36864.B und TR/Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 22.04.2010 (2)
  10. Rootkit eingefangen, Google-Suche wird umgeleitet!
    Plagegeister aller Art und deren Bekämpfung - 18.01.2010 (3)
  11. Rootkit eingefangen / Nero kaputt / Popups
    Plagegeister aller Art und deren Bekämpfung - 22.07.2009 (1)
  12. Rootkit eingefangen / Popups
    Mülltonne - 22.07.2009 (0)
  13. gmer läuft nicht mehr durch - rootkit eingefangen?
    Log-Analyse und Auswertung - 06.05.2009 (1)
  14. Rootkit.gen eingefangen?
    Log-Analyse und Auswertung - 11.10.2008 (5)
  15. TR/Rootkit.Gen eingefangen; Leistungsverlust
    Plagegeister aller Art und deren Bekämpfung - 05.08.2008 (2)
  16. Rootkit eingefangen ?! Oder eher Windows-Prob ?!
    Plagegeister aller Art und deren Bekämpfung - 18.08.2007 (2)
  17. Rootkit eingefangen?
    Log-Analyse und Auswertung - 17.01.2007 (9)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit eingefangen? - Vorweg: habe jetzt in den letzten 5 Monaten mein System (Win2k) viermal neu aufgesetzt (mit Formatierung) und vermutlich immer wieder über gespeicherte Backups den "Schädling" wieder eingefangen. Ist aber absolut - Rootkit eingefangen?...
Archiv
Du betrachtest: Rootkit eingefangen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130