Erstmal hallo

Ich hab folgendes Problem ich habe die vermutung das ich mir irgent was eingefangen habe. Und ein Kumpel von mir hat die Vermutung gestellt das ich möglicher weise mir ein rootkit eingefangen habe aber muss nicht sein.
So jetzt brauche ich eure Hilfe:

1. wie kann ich meinen Rechner auf Rootkits durchsuchen ?
2. wie kann ich anschließend das rootkit löschen ?

Also ich habe hier mal im Forum rumgescheit und habe mir schon mal HijackThis und F-Secure BlackLight Rootkit Eliminator besorgt nur das problem is Blacklight funzt nicht bei mir

Wenn ich das starte kommt folgender Fehler:
The evaluation period for this version of F-Secure BlackLight has expired

For the latest version, pleas visit our web site.

Also wie gesagt ich würde gerne sicher stellen ob ich irgent was in der richtung habe.
Ich hoffe ihr könnt mir Helfen

Danke im Vorraus

Hallo,

eine einfache Möglichkeit ist, dein Systemdatum auf den 30. September zurückzustellen. Dann läuft Blacklight.

Poste beide Logs (HijackThis und Blacklight), dann sehen wir weiter. Wenn allerdings tatsächlich ein Rootkit aktiv ist oder war, kommst du um ein Neuaufsetzen nicht herum. Wie kommt ihr übrigens auf den Rootkit-Verdacht?

also ich Persönlich hatte nicht den verdacht
nur ich hatte in letzterzeit so merkwürdige Aktivitäten auf meine Rechner zb hatte ich auf einmal ein 2. Benutzer Konto mit dem Name NET.ASP oder so ähnlich mein System leuft auch unstabieler als sonst Spiele sind mitten drin einfach ausgegangen oder haben sich direckt aufgehangen

Ok, wie gesagt:

Zitat:

Poste beide Logs (HijackThis und Blacklight), dann sehen wir weiter.

ich hatte gestern schon mit einen andere programm gescant (McAfee - Stinger) da hat er nichts gefunden

Ich scann jetzt noch mal mit Blacklight

Hier die LogFiles

Blacklight:
09/30/07 10:26:55 [Info]: BlackLight Engine 1.0.64 initialized
09/30/07 10:26:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/30/07 10:26:55 [Note]: 7019 4
09/30/07 10:26:55 [Note]: 7005 0
09/30/07 10:26:59 [Note]: 7006 0
09/30/07 10:26:59 [Note]: 7011 1124
09/30/07 10:26:59 [Note]: 7026 0
09/30/07 10:26:59 [Note]: 7026 0
09/30/07 10:27:00 [Note]: FSRAW library version 1.7.1022
09/30/07 10:29:20 [Note]: 2000 1012
09/30/07 10:31:11 [Note]: 7007 0



HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 10:31:32, on 30.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\QIP\qip.exe
C:\This.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BDE6C26-AE26-47AD-8806-A24B75F9BE94}: NameServer =
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

-------------------------------------------
edit: kann man bei Blacklight auch einstellen das der die anderen Festplatten Scannen soll weil der hta nur C:\ gescant

wenn ich mir die running processes ansehe ist da nix blacklight meldet nix verdächtiges denk eher das dir da einer ein streich spielt und dich verusichern will aber mal abwarten was die andern meinen

Deine Logfiles sind m.E. unauffällig. Eine Frage:

Zitat:

Zitat von Schneuf

O17 - HKLM\System\CCS\Services\Tcpip\..\{1BDE6C26-AE26-47AD-8806-A24B75F9BE94}: NameServer =

Hast du hier (hinter dem Gleichheitszeichen) eine IP-Adresse oder einen Domainnamen editiert? Wenn ja, welche/n?

Zitat:

edit: kann man bei Blacklight auch einstellen das der die anderen Festplatten Scannen soll weil der hta nur C:\ gescant

Nein, das kann man nicht. Nach einem Rootkit sieht es aber auch derzeit nicht aus. Daher führe folgende Scans durch:

1. Silentrunners:

Zitat:

Lade SilentRunners von dieser Seite auf den Desktop runter. Alle Programme schließen und SilentRunners starten. In der Abfrage "nein" wählen, damit die "supplementary searches" ebenfalls ausgeführt werden. Die weitere Abfrage mit "ja" bestätigen. Nun warten, bis SilentRunners mit einem Fenster bestätigt fertig zu sein, dies kann einige Zeit dauern. Das Logfile findest Du danach auf dem Desktop. Dessen Inhalt posten.

(Anleitung von KarlKarl)

2. ComboFix

3. eScan, nach der Anleitung, die du hier im Unterforum "Anleitungen" findest. Poste im Anschluss die Ergebnisse der find.bat, wie es in der Anleitung beschrieben ist.