Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Nach Neustart neues Rootkit

Nach Neustart neues Rootkit


Plagegeister aller Art und deren Bekämpfung: Nach Neustart neues Rootkit

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.09.2008, 12:34   #1
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Hallo,
hab zurzeit folgendes Problem: Ich habe mit AVG Anti-Rootkit nach Rootkits gesucht. Es taucht immer genau eines in stets demselben Ordner auf; der Name ist dabei zufallsgeneriert. Hier ein Bild:
http://img378.imageshack.us/img378/3857/roothn5.png
Nach einem Neustart ist immer wieder ein neues Rootkit vorhanden. Hab das ganze System schon mit Antivir abgesucht und keine Malware gefunden. Was mach ich nun?

PS: Benutze Windows XP SP3.
PPS: Hijackthis-Log:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 2:11:53 PM, on 9/6/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
I:\Program Files\Adaware\aawservice.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Winamp\winampa.exe
F:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
H:\Program Files\DAEMON Tools\daemon.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\PeerGuardian2\pg2.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
H:\Program Files\OpenOffice.org 2.3\program\soffice.exe
H:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\system32\oodag.exe
H:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "H:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\Quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UpdReg] UpdReg.exe
O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0
O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe
O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] F:\WINDOWS\system32\Fi2.32tcr2.2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "h:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\Program Files\PeerGuardian2\pg2.exe
O4 - Startup: OpenOffice.org 2.3.lnk = H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Shortcut to SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200172691093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA99AF0-6D60-436A-90B1-CB84292B67F8}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B7F0D3-FB52-4746-8923-5868B0480473}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O20 - Winlogon Notify: LBTWlgn - f:\program files\common files\logishrd\bluetooth\LBTWlgn.dll
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - F:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Program Files\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - F:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
Geändert von pyrates (06.09.2008 um 13:14 Uhr)

Alt 06.09.2008, 12:45   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Ausrufezeichen

Nach Neustart neues Rootkit


Hallo,

lass mal bitte Blacklight durchlaufen.
Gefundene Dateien bitte nicht löschen, sondern nur umbenennen!! Die umbenannten dann bei Virustotal.com auswerten lassen und die Ergebnisse posten, aber so, dass man die Ergebnisse der einzelnen Virenscanner sehen kann. Bitte mit Angaben zu den Dateigrößen und Prüfsummen.

BTW: Logfiles postet man vollständig und mit Codetags umschlossen!

HTML-Code:
[code] Hier das Logfile rein! [/code]
__________________

__________________
Alt 06.09.2008, 13:20   #3
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Habe Blacklight durchlaufen lassen, aber es wurden keine Rootkits gefunden. Weil mir das etwas seltsam vorkam hab ich neugestartet und wieder einen Scan gemacht, bei dem jedoch ebenfalls 0 Treffer herauskamen. Gibt es noch andere Programme mit denen man nach Rootkits suchen kann?
__________________
Alt 06.09.2008, 13:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Jo gibt es. Laß mal am besten Combofix und SDFix durlaufen. Das sind rel. komplexe Bereingungstools, die sich aus mehreren kleineren Tools und Scripts zusammensetzen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]

SDFix anwenden:
  • Lade SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken (C:\sdfix)
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2008, 14:07   #5
KarlKarl
/// Helfer-Team
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Entschuldigt die Einmischung, have fun

Geändert von KarlKarl (06.09.2008 um 14:27 Uhr)

Alt 06.09.2008, 14:12   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Icon30

Nach Neustart neues Rootkit


Zitat:
Zitat von KarlKarl Beitrag anzeigen
Hi,

bitte nicht das System mit allen Tools auseinandernehmen und demolieren.
Machen wir doch nicht.
__________________
--> Nach Neustart neues Rootkit

Alt 06.09.2008, 14:17   #7
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Alles der Reihe nach, hier erstmal das Log von Combofix:
Code:
ATTFilter
ComboFix 08-09-05.02 - admin 2008-09-06 15:12:07.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1033.18.1638 [GMT 2:00]
Running from: F:\Documents and Settings\admin\Desktop\ComboFix.exe
 * Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((   Files Created from 2008-08-06 to 2008-09-06  )))))))))))))))))))))))))))))))
.

2008-08-29 18:37 . 2008-08-29 18:39	<DIR>	d--------	F:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-29 17:35 . 2008-09-01 10:37	<DIR>	d--------	F:\Program Files\PeerGuardian2
2008-08-22 15:26 . 2008-08-22 15:26	21,840	--a------	F:\WINDOWS\system32\SIntfNT.dll
2008-08-22 15:26 . 2008-08-22 15:26	17,212	--a------	F:\WINDOWS\system32\SIntf32.dll
2008-08-22 15:26 . 2008-08-22 15:26	12,067	--a------	F:\WINDOWS\system32\SIntf16.dll
2008-08-22 15:19 . 2008-08-22 15:19	102,400	--a------	F:\WINDOWS\DIIUnin.exe
2008-08-22 15:19 . 2008-08-22 15:34	30,351	--a------	F:\WINDOWS\DIIUnin.dat
2008-08-22 15:19 . 2008-08-22 15:19	2,829	--a------	F:\WINDOWS\DIIUnin.pif
2008-08-21 13:34 . 2008-05-01 16:33	331,776	-----c---	F:\WINDOWS\system32\dllcache\msadce.dll
2008-08-21 13:33 . 2008-04-11 21:04	691,712	-----c---	F:\WINDOWS\system32\dllcache\inetcomm.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 13:03	---------	d-----w	F:\Documents and Settings\admin\Application Data\OpenOffice.org2
2008-09-05 21:20	---------	d-----w	F:\Documents and Settings\*\Application Data\OpenOffice.org2
2008-09-04 16:46	---------	d-----w	F:\Documents and Settings\admin\Application Data\teamspeak2
2008-08-29 22:21	---------	d-----w	F:\Documents and Settings\*\Application Data\uTorrent
2008-08-29 16:13	---------	d-----w	F:\Program Files\Common Files\Wise Installation Wizard
2008-08-28 12:39	---------	d-----w	F:\Documents and Settings\admin\Application Data\Skype
2008-08-28 10:45	---------	d-----w	F:\Documents and Settings\admin\Application Data\skypePM
2008-08-15 19:28	---------	d-----w	F:\Documents and Settings\admin\Application Data\.purple
2008-07-15 00:02	---------	d-----w	F:\Program Files\Java
2008-07-14 12:47	---------	d-----w	F:\Documents and Settings\admin\Application Data\gtk-2.0
2008-07-14 12:46	---------	d-----w	F:\Program Files\Pidgin
2008-07-13 20:39	---------	d-----w	F:\Program Files\Pidgin_common
2008-07-09 14:42	---------	d--h--w	F:\Program Files\InstallShield Installation Information
2008-07-07 23:47	4,608	----a-w	F:\WINDOWS\system32\w95inf32.dll
2008-07-07 23:47	2,272	----a-w	F:\WINDOWS\system32\w95inf16.dll
2008-07-07 20:26	253,952	----a-w	F:\WINDOWS\system32\es.dll
2008-06-24 16:43	74,240	----a-w	F:\WINDOWS\system32\mscms.dll
2008-06-23 16:57	826,368	----a-w	F:\WINDOWS\system32\wininet.dll
2008-06-20 17:46	245,248	----a-w	F:\WINDOWS\system32\mswsock.dll
2008-06-12 17:02	2,829	----a-w	F:\WINDOWS\War3Unin.pif
2008-06-12 17:02	139,264	----a-w	F:\WINDOWS\War3Unin.exe
2003-05-26 19:08	8,964,958	----a-w	F:\Documents and Settings\admin\SCXE26Setup.exe
2003-05-05 14:59	436,224	----a-w	F:\Documents and Settings\admin\SCXEDirectoryFix.exe
2003-04-19 14:34	467,968	----a-w	F:\Documents and Settings\admin\SCXEUpd.exe
2008-05-24 07:53	32,768	--sha-w	F:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008052420080525\index.dat
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="h:\Program Files\DAEMON Tools\daemon.exe" [2007-09-18 171464]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"PeerGuardian"="F:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-01 266497]
"Launch LCDMon"="F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2007-12-13 2051096]
"Launch LGDCore"="F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2007-12-13 2095640]
"SunJavaUpdateSched"="F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"WinampAgent"="H:\Program Files\Winamp\winampa.exe" [2008-01-16 37376]
"TkBellExe"="F:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-01-15 185632]
"IMJPMIG8.1"="F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"MSPY2002"="F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392]
"PHIME2002ASync"="F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"PHIME2002A"="F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168]
"QuickTime Task"="H:\Program Files\Quicktime\QTTask.exe" [2008-02-01 385024]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 F:\WINDOWS\KHALMNPR.Exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"YouP-PAX 3.63.03 Tone Color Restorer"="F:\WINDOWS\system32\Fi2.32tcr2.2.exe" [2007-06-01 443908]
"CTxfiReg"="CTxfiReg.exe" [2006-08-11 F:\WINDOWS\system32\CTXFIREG.EXE]
"CTxfiHlp"="CTxfiHlp.exe" [2006-08-11 F:\WINDOWS\system32\CTXFIHLP.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"RunNarrator"="Narrator.exe" [2008-04-14 F:\WINDOWS\system32\narrator.exe]

F:\Documents and Settings\*\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]
Shortcut to daemon.lnk - H:\Program Files\DAEMON Tools\daemon.exe [2007-09-18 171464]
Shortcut to SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

F:\Documents and Settings\admin\Start Menu\Programs\Startup\
OpenOffice.org 2.3.lnk - H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]
Shortcut to SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

F:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Logitech SetPoint.lnk - F:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-08-01 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 f:\Program Files\Common Files\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 02:08 2512392 F:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-05-30 15:54 21718312 F:\Program Files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-01-21 13:17 61440 F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-28 11:40 1271032 H:\Games\Steam2\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"H:\\Program Files\\ICQ6\\ICQ.exe"=
"H:\\Games\\Copy of EVE\\bin\\ExeFile.exe"=
"H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe"=
"H:\\Games\\EVE\\bin\\ExeFile.exe"=
"H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe"=
"H:\\Games\\Clonk Rage\\Clonk.exe"=
"I:\\Games\\UT3\\Binaries\\UT3.exe"=
"F:\\Program Files\\uTorrent\\uTorrent.exe"=
"I:\\Games\\Civilization 4\\Civilization4.exe"=
"F:\\Program Files\\Skype\\Phone\\Skype.exe"=

R0 m5288;m5288;F:\WINDOWS\system32\DRIVERS\m5288.sys [2005-12-23 210304]
R2 PStrip;PStrip;F:\WINDOWS\system32\drivers\pstrip.sys [2007-07-15 27992]
S3 NPF;NetGroup Packet Filter Driver;F:\WINDOWS\system32\drivers\npf.sys [2005-08-02 32512]

*Newly Created Service* - PGFILTER
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-UpdReg - UpdReg.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - F:\Documents and Settings\admin\Application Data\Mozilla\Firefox\Profiles\b0uc1iy6.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
FF -: plugin - H:\Program Files\Firefox 3.0\plugins\npnul32.dll
FF -: plugin - H:\Program Files\Quicktime\Plugins\npqtplugin.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - h:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 15:13:26
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-09-06 15:13:54
ComboFix-quarantined-files.txt  2008-09-06 13:13:52

Pre-Run: 19,948,081,152 bytes free
Post-Run: 22,110,502,912 bytes free

150
Was soll ich als nächstes machen? Den letzten Teil von root24s Anweisungen abarbeiten?
edit: Werde jetzt SDFix anwenden.
Geändert von pyrates (06.09.2008 um 14:37 Uhr)

Alt 06.09.2008, 14:56   #8
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Ich mache mal einen Doppelpost, sonst wird es vll. etwas unübersichtlich.
SDFix-Log:
Code:
ATTFilter
SDFix: Version 1.221 
Run by admin on Sat 09/06/2008 at 03:43 PM

Microsoft Windows XP [Version 5.1.2600]
Running From: F:\SDFix\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files : 

Trojan Files Found:

F:\DOCUME~1\*\APPLIC~1\THINST~1\POWERA~1.6\400000~1\TAG.EXE - Deleted





Removing Temp Files

ADS Check :
 


                                 Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-06 15:46:58
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:db,2f,8d,c8,bb,07,24,68,99,84,93,2b,7a,8d,15,27,4b,ed,31,38,99,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b7,34,85,43,a6,94,ec,55,7a,f0,26,5b,29,d0,a0,e5,3e,ac,93,25,9c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:72,50,5f,57,22,c4,9a,eb,16,e8,17,f1,16,62,f9,6f,24,88,51,93,13,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:55,89,c6,a3,ad,99,34,74,99,a3,36,f5,98,f8,84,8d,2f,c2,a0,39,1b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:90,60,bd,5b,a2,63,3a,ac,5d,ff,bd,ce,50,45,cc,99,67,8c,93,0e,f1,..
"p0"="h:\Program Files\DAEMON Tools\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,46,a3,75,ee,0f,b2,c5,89,f2,94,2e,b6,16,a8,99,15,28,..
"khjeh"=hex:c3,aa,28,70,1d,3b,0e,d7,97,07,7f,dd,c9,97,7f,31,96,dc,5d,48,92,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:db,2f,8d,c8,bb,07,24,68,99,84,93,2b,7a,8d,15,27,4b,ed,31,38,99,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:b7,34,85,43,a6,94,ec,55,7a,f0,26,5b,29,d0,a0,e5,3e,ac,93,25,9c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:c9,8c,16,59,c3,9b,f9,af,ef,c1,da,8d,4b,f3,c8,d7,7b,4a,e2,f6,f4,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:03,77,15,e1,8f,34,d9,09,59,6d,35,b1,9c,4b,72,5e,58,72,5e,87,f5,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]
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
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000084
"TracesSuccessful"=dword:00000006

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Program Files\\ICQ6\\ICQ.exe"="H:\\Program Files\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"H:\\Games\\Copy of EVE\\bin\\ExeFile.exe"="H:\\Games\\Copy of EVE\\bin\\ExeFile.exe:*:Enabled:CCP ExeFile"
"H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe"="H:\\Games\\Steam2\\steamapps\\zwei1\\counter-strike\\hl.exe:*:Enabled:Half-Life Launcher"
"H:\\Games\\EVE\\bin\\ExeFile.exe"="H:\\Games\\EVE\\bin\\ExeFile.exe:*:Enabled:CCP ExeFile"
"H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe"="H:\\Games\\Unreal Anthology2\\UT2004\\System\\UT2004.exe:*:Enabled:UT2004"
"H:\\Games\\Clonk Rage\\Clonk.exe"="H:\\Games\\Clonk Rage\\Clonk.exe:*:Enabled:Clonk Rage"
"I:\\Games\\UT3\\Binaries\\UT3.exe"="I:\\Games\\UT3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"F:\\Program Files\\uTorrent\\uTorrent.exe"="F:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"I:\\Games\\Civilization 4\\Civilization4.exe"="I:\\Games\\Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4"
"F:\\Program Files\\Skype\\Phone\\Skype.exe"="F:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - F:\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 13 Jan 2008             0 A.SH. --- F:\DOCUME~1\ALLUSE~1\DRM\CACHE\INDIV01.TMP

Finished!
Anm.: Kann den Accountnamen dazuschreiben, wenn das behilflich ist.

Nun das Hijackthis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:53:03 PM, on 9/6/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
I:\Program Files\Adaware\aawservice.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\WINDOWS\system32\oodag.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\notepad.exe
F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
H:\Program Files\Winamp\winampa.exe
F:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\Applets\LCDCountdown.exe
H:\Program Files\DAEMON Tools\daemon.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\PeerGuardian2\pg2.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
H:\Program Files\OpenOffice.org 2.3\program\soffice.exe
F:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
H:\Program Files\OpenOffice.org 2.3\program\soffice.BIN
H:\Program Files\Firefox 3.0\firefox.exe
H:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:80
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "H:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "F:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IMJPMIG8.1] "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] F:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "H:\Program Files\Quicktime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [UpdReg] UpdReg.exe
O4 - HKLM\..\RunOnce: [CTxfiReg] CTxfiReg.exe /FAIL0
O4 - HKLM\..\RunOnce: [CTxfiHlp] CTxfiHlp.exe
O4 - HKLM\..\RunOnce: [YouP-PAX 3.63.03 Tone Color Restorer] F:\WINDOWS\system32\Fi2.32tcr2.2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "h:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PeerGuardian] F:\Program Files\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.3.lnk = H:\Program Files\OpenOffice.org 2.3\program\quickstart.exe
O4 - Startup: Shortcut to SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Logitech SetPoint.lnk = F:\Program Files\Logitech\SetPoint\SetPoint.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200172691093
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA99AF0-6D60-436A-90B1-CB84292B67F8}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B7F0D3-FB52-4746-8923-5868B0480473}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - I:\Program Files\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - F:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - F:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - F:\Program Files\WinPcap\rpcapd.exe

--
End of file - 6976 bytes
edit: Ein Zombie weniger. Was nun?
Geändert von pyrates (06.09.2008 um 15:06 Uhr)

Alt 06.09.2008, 15:34   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Icon31

Nach Neustart neues Rootkit


Das sieht - soweit ich das beurteilen kann - okay aus. Vermutlich hatte Karl mit seiner Vermutung, dass es an DeamonTools liegt, Recht.

Prost Karl!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2008, 15:38   #10
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Zitat:
Zitat von root24 Beitrag anzeigen
Das sieht - soweit ich das beurteilen kann - okay aus. Vermutlich hatte Karl mit seiner Vermutung, dass es an DeamonTools liegt, Recht.

Prost Karl!
Aber ich hab die DaemonTools doch noch garnicht deinstalliert.

Alt 06.09.2008, 15:40   #11
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Blinzeln

Nach Neustart neues Rootkit


Zitat:
Zitat von KarlKarl Beitrag anzeigen
Entschuldigt die Einmischung, have fun
Die Einmischung ist sogar erwünscht!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2008, 15:46   #12
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Ich haette dann noch zwei Fragen:
1. Kann ich den CC-Cleaner auch einfach so verwenden? Wenn ja, ist das Programm besser als Adaware?

2. Soll ich die Daemontools deinstallieren? Wenn ja, gibt es ein alternatives, sichereres Programm?

Alt 06.09.2008, 15:49   #13
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Nach Neustart neues Rootkit - Icon31

Nach Neustart neues Rootkit


1.) Der CCleaner löscht bloß unnötige Dateien, ist also kein Tool zum Aufspüren von Ad- und Spyware.

2.) Die DaemonTool sind okay, ich selbst nutze diese auch.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.09.2008, 15:56   #14
pyrates
 
Nach Neustart neues Rootkit - Standard

Nach Neustart neues Rootkit


Okay, das wärs dann. Vielen Dank!

Antwort

Themen zu Nach Neustart neues Rootkit
ad-aware, antivir, avg, avira, bho, explorer, hijack, hotkey, immer wieder, internet, internet explorer, launch, logfile, malware, messenger, microsoft, neustart, object, ordner, problem, rootkit, shortcut, software, system, system32, update, windows, windows xp


« Diverse Probleme nach Antivirus 2008 xp / W32/Polip.A | Trojana VBS/AGENT.1002 hilfe »


Ähnliche Themen: Nach Neustart neues Rootkit


  1. Win8.1, Browser viel Werbung, Nach Neustart viele Viren -> rootkit?
    Log-Analyse und Auswertung - 02.08.2015 (7)
  2. Cmd.exe nach neustart im Task Manager
    Log-Analyse und Auswertung - 01.03.2015 (19)
  3. Nach öffnen von Email bleibt Laptop hängen, nach Neustart keine Ausgabe mehr (schwarzer Bildschirm).
    Antiviren-, Firewall- und andere Schutzprogramme - 18.01.2014 (10)
  4. weißer Bildschirm nach Anmeldung, im abges. Modus sofortiger Neustart nach Anmeldung
    Plagegeister aller Art und deren Bekämpfung - 22.11.2013 (12)
  5. Fehler nach Neustart Win Vista
    Alles rund um Windows - 30.09.2013 (23)
  6. über 100 Prozesse nach Neustart
    Log-Analyse und Auswertung - 15.07.2013 (5)
  7. weisser Bildschirm nach Neustart
    Plagegeister aller Art und deren Bekämpfung - 07.10.2012 (1)
  8. Virus vernichtet Antivir-Programm und lässt nichts neues Installieren, alles mögliche erfordert immer Neustart des Pc's
    Log-Analyse und Auswertung - 21.09.2012 (3)
  9. Datenübernahme nach Trojaner auf neues System
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  10. Neues problem... avast! schlägt bei sfloppy.sys an, direkt nach Neuinstallation!
    Plagegeister aller Art und deren Bekämpfung - 06.12.2011 (3)
  11. RUNDLL nach dem Neustart
    Plagegeister aller Art und deren Bekämpfung - 17.01.2011 (10)
  12. Pc nach neustart lahm und verseucht
    Log-Analyse und Auswertung - 30.06.2009 (18)
  13. Internet geht nach ca. 10min nicht mehr / vorher nur lahm / nach neustart das gleiche
    Log-Analyse und Auswertung - 01.12.2008 (0)
  14. Grafiktreiber nach Neustart gelöscht
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (0)
  15. desktop nach neustart leer...
    Plagegeister aller Art und deren Bekämpfung - 14.06.2007 (11)
  16. Modem nach Neustart weg!
    Alles rund um Windows - 02.01.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Nach Neustart neues Rootkit - Hallo, hab zurzeit folgendes Problem: Ich habe mit AVG Anti-Rootkit nach Rootkits gesucht. Es taucht immer genau eines in stets demselben Ordner auf; der Name ist dabei zufallsgeneriert. Hier ein - Nach Neustart neues Rootkit...
Archiv
Du betrachtest: Nach Neustart neues Rootkit auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131