Zufall oder gehackt ??

ordell1234 · 12.07.2007, 21:38

Zitat:

Zitat von Franz1968

hast du mal SmitfraudFix oder SmitRem ausgeführt? Die process.exe könnte damit zu tun haben.

In der smidfraudfix.cmd finden sich folgende Einträge:

Zitat:

if not exist %syspath%\Process.exe copy Process.exe %syspath%\Process.exe >NUL
if not exist %syspath%\swreg.exe copy swreg.exe %syspath%\swreg.exe >NUL
if not exist %syspath%\swsc.exe copy swsc.exe %syspath%\swsc.exe >NUL
if not exist %syspath%\SrchSTS.exe copy SrchSTS.exe %syspath%\SrchSTS.exe >NUL
if not exist %syspath%\dumphive.exe copy dumphive.exe %syspath%\dumphive.exe >NUL
if not exist %syspath%\swxcacls.exe copy swxcacls.exe %syspath%\swxcacls.exe >NUL

Die Process.exe ist identisch.
SHA1: 89036847 3ECBC404 DCD42FF0 C6C38397 102F59C0
MD5: 7397F6EE 4A9601A1 23B645C0 CD428017

@Markus_33: Die Datei, die du nach Ausführung von escan und find.bat bitte postest, nennt sich escan_neu.txt und befindet sich im Ordner bases_x. Gruß

ordell1234 · 12.07.2007, 21:43

sry, Doppelposting

Markus_33 · 13.07.2007, 20:09

Hallo Franz, hallo Ordell1234

Ordell: danke für Deinen Beitrag !, d.h., wenn ich Dich richtig verstehe, sind process.exe usw. von smidfraudfix manipuliert und harmlos ?
escan_neu.txt war nach Auswertung von find.bat leider 0 byte gross, ich lasse find.bat aber gleich nochmal laufen

Franz: eins muss man Dir lassen, Du gibts einfach nicht auf :-)
So der Log-Auszug von Combofix
(unter HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services stehen übrigens 'Aei2iadafs' und 'Nuipsh', das waren die zwei unbekannten Dienste, bei denen ich Dich schon mal um Rat bat :-)

2007-07-13 20:04 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-10 20:58 524,288 --ah----- C:\DOKUME~1\***\NTUSER.DAT
2007-07-10 20:58 <DIR> dr-h----- C:\DOKUME~1\***\Anwendungsdaten
2007-07-10 20:58 <DIR> dr------- C:\DOKUME~1\***\Startmen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Vorlagen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Netzwerkumgebung
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Lokale Einstellungen
2007-07-10 20:58 <DIR> d--h----- C:\DOKUME~1\***\Druckumgebung
2007-07-10 20:58 <DIR> d-------- C:\DOKUME~1\***\Favoriten
2007-07-10 20:52 <DIR> d-------- C:\bases
2007-07-10 19:26 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-10 19:26 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-07-10 19:26 22,168 --a------ C:\WINDOWS\SYSTEM32\imsinstall_loc0407.dll
2007-07-10 19:26 18,072 --a------ C:\WINDOWS\SYSTEM32\imslsp_install_loc0407.dll
2007-07-10 19:26 11,264 --a------ C:\WINDOWS\SYSTEM32\SpOrder.dll
2007-07-10 19:26 1,087,216 --a------ C:\WINDOWS\SYSTEM32\zpeng24.dll
2007-07-09 11:32 <DIR> d-------- C:\bases_x

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-13 17:22:01 1,049 ----a-w C:\WINDOWS\nsreg.dat
2007-07-10 17:27:54 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
2007-07-08 13:43:02 -------- d-----w C:\Programme\Spyware Doctor
2007-07-07 21:14:06 83,536 ----a-w C:\WINDOWS\system32\drivers\iksyssec.sys
2007-07-07 21:14:03 59,984 ----a-w C:\WINDOWS\system32\drivers\iksysflt.sys
2007-07-07 21:13:39 26,064 ----a-w C:\WINDOWS\system32\drivers\kcom.sys
2007-07-07 21:13:32 52,304 ----a-w C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-07-07 21:13:30 39,248 ----a-w C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-06-17 15:55:20 -------- d-----w C:\Programme\Google
2007-06-10 10:14:50 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-08 18:31:14 -------- d-----w C:\Programme\Basilisk II JIT
2007-06-05 18:54:07 -------- d-----w C:\DOKUME~1\***\ANWEND~1\Smith Micro
2007-06-05 09:12:48 -------- d-----w C:\Programme\7-Zip
2007-05-16 15:11:44 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-03-21 14:39:07 28,832 ----a-w C:\DOKUME~1\***\ANWEND~1\GDIPFONTCACHEV1.DAT

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-01-12 20:38 63128 --a------ C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-03-14 03:43 501400 --a------ C:\Programme\Java\jre1.6.0_01\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 22:10]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDMCon]
"C:\Programme\Softwin\BitDefender8\bdmcon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDNewsAgent]
"C:\Programme\Softwin\BitDefender8\bdnagent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\diagent]
C:\Programme\Creative\SBLive\Diagnostics\diagent.exe startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
C:\WINDOWS\UpdReg.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Symoteiosh"=3 (0x3)
"Macromedia Licensing Service"=3 (0x3)
"IDriverT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"Adobe LM Service"=3 (0x3)
"Aei2iadafs"=3 (0x3)
"Nuipsh"=3 (0x3)
"sdAuxService"=3 (0x3)
"sdCoreService"=3 (0x3)
"rpcapd"=3 (0x3)

Contents of the 'Scheduled Tasks' folder
2007-07-06 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-13 20:13:44
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

Zufall oder gehackt ??

Plagegeister aller Art und deren Bekämpfung: Zufall oder gehackt ??