| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nach Neustart neues RootkitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.09.2008, 12:34
| #1 |
 |  Nach Neustart neues Rootkit Hallo, hab zurzeit folgendes Problem: Ich habe mit AVG Anti-Rootkit nach Rootkits gesucht. Es taucht immer genau eines in stets demselben Ordner auf; der Name ist dabei zufallsgeneriert. Hier ein Bild: http://img378.imageshack.us/img378/3857/roothn5.png Nach einem Neustart ist immer wieder ein neues Rootkit vorhanden. Hab das ganze System schon mit Antivir abgesucht und keine Malware gefunden. Was mach ich nun? PS: Benutze Windows XP SP3. PPS: Hijackthis-Log: Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 2:11:53 PM, on 9/6/2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\Ati2evxx.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe I:\Program Files\Adaware\aawservice.exe F:\WINDOWS\system32\Ati2evxx.exe F:\WINDOWS\system32\spoolsv.exe F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe F:\WINDOWS\Explorer.EXE F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe H:\Program Files\Winamp\winampa.exe F:\Program Files\Common Files\Real\Update_OB\realsched.exe F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe H:\Program Files\DAEMON Tools\daemon.exe F:\WINDOWS\system32\ctfmon.exe F:\Program Files\PeerGuardian2\pg2.exe F:\Program Files\Logitech\SetPoint\SetPoint.exe F:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE H:\Program Files\OpenOffice.org 2.3\program\soffice.exe H:\Program Files\OpenOffice.org 2.3\program\soffice.BIN F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe F:\WINDOWS\system32\oodag.exe H:\Program Files\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80 O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [WinampAgent] "H:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\Quicktime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [UpdReg] UpdReg.exe O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0 O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] F:\WINDOWS\system32\Fi2.32tcr2.2.exe O4 - HKCU\..\Run: [DAEMON Tools] "h:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PeerGuardian] F:\Program Files\PeerGuardian2\pg2.exe O4 - Startup: OpenOffice.org 2.3.lnk = H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe O4 - Startup: Shortcut to SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200172691093 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA99AF0-6D60-436A-90B1-CB84292B67F8}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B7F0D3-FB52-4746-8923-5868B0480473}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: LBTWlgn - f:\program files\common files\logishrd\bluetooth\LBTWlgn.dll O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Program Files\Adaware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - F:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) Geändert von pyrates (06.09.2008 um 13:14 Uhr) |
| Themen zu Nach Neustart neues Rootkit |
| ad-aware, antivir, avg, avira, bho, explorer, hijack, hotkey, immer wieder, internet, internet explorer, launch, logfile, malware, messenger, microsoft, neustart, object, ordner, problem, rootkit, shortcut, software, system, system32, update, windows, windows xp |
Baum-Darstellung