|
Log-Analyse und Auswertung: Fragwürdige Datei "phunter"Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
30.11.2008, 13:15 | #1 |
| Fragwürdige Datei "phunter" Hallo, da ich hier am verzweifeln bin würde ich euch gerne um Hilfe bitte. Es handelt sich über die Datei "phunter". Ich gehe mal star davon aus das es zu einem Programm gehört, leider kann ich diese Datei nicht auf meinem PC ausfindig machen. Sie wird weder über Autostarteinträge geladen noch über sonstiges sie ist ausschliesslich sichtbar wenn man unter Gerätemanager die ausgeblendeten Datein anzeigen lässt dort findet man diese als aktiv, jedoch ohne weitere Informationen. Scans mit verschiedenen Antivirentools oder Idendifikationsprogrammen brachten mir auch kein Ergebnis. Der einzigste Eintrag liegt in der Registry. Google brachte auch keine Ergebnisse usw. Hier die Infos: Log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:05:27, on 30.11.2008 Platform: Windows XP SP3 MSIE: Internet Explorer v7.00 Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\COMODO\COMODO Internet Security\cfp.exe C:\Programme\Orbitdownloader\orbitdm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202 O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227921770437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227893590687 O17 - HKLM\System\CCS\Services\Tcpip\..\{68C6F781-FA7A-4BE3-A8D4-0FBFA23339EE}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe -- End of file - 5403 bytes Und hier der Registry Schlüssel: Code:
ATTFilter Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000] "Service"="phunter" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="phunter" "Capabilities"=dword:00000000 "Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0004" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\LogConf] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\Control] |
30.11.2008, 13:40 | #2 |
| Fragwürdige Datei "phunter" Also ich kann in deinem Hjt-Logfile nichts besonderes finden was auf eine bösartige Datei hinweist. Du kannst ja mal eine Antimalwaresoftware drüberlaufen lassen. Download hier
__________________Gruß Lumitu |
30.11.2008, 14:05 | #3 |
| Fragwürdige Datei "phunter" Hallo,
__________________Ja das habe ich alles bereits hinter mir. Malwarebytes Anti Malwarew usw. gefunden wird nichts, dennoch wüsste ich gerne was das für ein Treiber ist wie gesagt es ist mit keiner Hardware verankert oder ähnliches abert trotzdem aktiv. Gruss |
30.11.2008, 18:59 | #4 | |
| Fragwürdige Datei "phunter" Das nennt sich Rootkit. Zitat:
8ECC055D-047F-11D1-A537-0000F8753ED1 gesucht, dann könntest du hier landen. Wenn du dort auf Technical Details klickst, weißt du auch, warum du nichts gefunden hast. Der Name wird zufällig generiert. Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden. 2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 3.) Führe dieses MBR-Tool aus und poste die Ausgabe. 4.) Blacklight ausführen und Logfile posten. 5.) Lade CatchMe auf deinen Desktop und starte es. Klick auf Scan. Wenn der Scan vorbei ist, poste die Datei catchme.log hier. Danach sehen wir weiter. ciao, andreas |
30.11.2008, 21:51 | #5 | ||
| Fragwürdige Datei "phunter" Hallo, vielen Dank für die Antwort hier die logs. Bl geht bei mir irgendwie nicht der Treiber kann nicht geladen werde. Zitat:
Zitat:
|
30.11.2008, 21:55 | #6 |
| Fragwürdige Datei "phunter" Lass noch einmal mbam laufen und poste das Log: http://www.trojaner-board.de/51187-a...i-malware.html Reinige anschliessend die Registry mit CCleaner: http://www.trojaner-board.de/51464-a...-ccleaner.html Geändert von john.doe (30.11.2008 um 22:02 Uhr) |
30.11.2008, 22:03 | #7 | ||
| Fragwürdige Datei "phunter" Hallo, habe geschafft BL zum laufen zu bringen und gleich auch nochmal mbam log. Zitat:
Zitat:
|
30.11.2008, 22:07 | #8 |
| Fragwürdige Datei "phunter" Reinige die Registry mit CCleaner: http://www.trojaner-board.de/51464-a...-ccleaner.html |
30.11.2008, 22:16 | #9 |
| Fragwürdige Datei "phunter" Hallo, CCleaner habe ich nun auch hinter mich gebracht. Soll ich nun die Prüfungen wieder durchführen? Gruß josy |
30.11.2008, 22:17 | #10 |
| Fragwürdige Datei "phunter" Ist der Eintrag denn noch da? Es ist kein Rootkit, sondern nur ein verwaister Registryeintrag. |
01.12.2008, 01:15 | #11 |
| Fragwürdige Datei "phunter" Hallo, ja ist er er ist ein geladener Treiber und aktiv weiterhin im Gerätemanager zu sehen und in der Registry. lg |
01.12.2008, 18:29 | #12 |
| Fragwürdige Datei "phunter" Da du fit genug bist ihn zu finden, bist du auch fit genug ihn von Hand zu entfernen: 1. Systemwiederherstellung deaktivieren 2. Start => Ausführen => regedit => OK 3. [Strg]f 4. LEGACY_PHUNTER[Enter] 5. [Entf] (sollte eine Sicherheitsabfrage kommen, dann Ja klicken) 6. [Pos1] Jetzt bei 3. wieder anfangen und erst aufhören wenn die Meldung kommt (sinngemäß): Keine weiteren Treffer gefunden. Neustart, Kontrolle ob Einträge verschwunden sind, falls ja, Systemwiederherstellung aktivieren und neuen Wiederherstellungswert setzen. Du hast mich mit Titel des Threads in die Irre geführt. Ich war die ganze Zeit auf der Suche nach einer Datei. Die hast du aber schon längst gelöscht, was übrig blieb, sind die verwaisten Registryeinträge. ciao, andreas |
04.12.2008, 15:55 | #13 |
| Fragwürdige Datei "phunter" Hallo, danke dir herzlichst. Habe die Schritte befolgt und entfernen können. Vielen Dank lg josy |
Themen zu Fragwürdige Datei "phunter" |
adobe, antivirus, anzeige, avast, avast!, bho, comodo internet security, dateien, dll, downloader, explorer, google, handel, hijack, hijackthis, internet, internet explorer, internet security, logfile, microsoft, nvidia, plug-in, programm, rundll, security, software, system, windows, windows xp, windows xp sp3, xp sp3 |