Hallo,

da ich hier am verzweifeln bin würde ich euch gerne um Hilfe bitte. Es handelt sich über die Datei "phunter". Ich gehe mal star davon aus das es zu einem Programm gehört, leider kann ich diese Datei nicht auf meinem PC ausfindig machen. Sie wird weder über Autostarteinträge geladen noch über sonstiges sie ist ausschliesslich sichtbar wenn man unter Gerätemanager die ausgeblendeten Datein anzeigen lässt dort findet man diese als aktiv, jedoch ohne weitere Informationen. Scans mit verschiedenen Antivirentools oder Idendifikationsprogrammen brachten mir auch kein Ergebnis. Der einzigste Eintrag liegt in der Registry. Google brachte auch keine Ergebnisse usw. Hier die Infos:

Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:27, on 30.11.2008
Platform: Windows XP SP3 
MSIE: Internet Explorer v7.00
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\COMODO\COMODO Internet Security\cfp.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227921770437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227893590687
O17 - HKLM\System\CCS\Services\Tcpip\..\{68C6F781-FA7A-4BE3-A8D4-0FBFA23339EE}: NameServer = 192.168.2.1
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5403 bytes
         

Und hier der Registry Schlüssel:

Code: Alles auswählenAufklappen

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000]
"Service"="phunter"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="phunter"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0004"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\Control]
         

vielen Dank

Also ich kann in deinem Hjt-Logfile nichts besonderes finden was auf eine bösartige Datei hinweist. Du kannst ja mal eine Antimalwaresoftware drüberlaufen lassen. Download hier

Gruß Lumitu

Hallo,

Ja das habe ich alles bereits hinter mir. Malwarebytes Anti Malwarew usw. gefunden wird nichts, dennoch wüsste ich gerne was das für ein Treiber ist wie gesagt es ist mit keiner Hardware verankert oder ähnliches abert trotzdem aktiv.

Gruss

Zitat:

Zitat von josy1982

leider kann ich diese Datei nicht auf meinem PC ausfindig machen.

Das nennt sich Rootkit.

Zitat:

Google brachte auch keine Ergebnisse usw.

Weil du nach dem Namen gesucht hast. Hättest du nach
8ECC055D-047F-11D1-A537-0000F8753ED1 gesucht, dann könntest du hier landen. Wenn du dort auf Technical Details klickst, weißt du auch, warum du nichts gefunden hast. Der Name wird zufällig generiert.

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe.

4.) Blacklight ausführen und Logfile posten.

5.) Lade CatchMe auf deinen Desktop und starte es. Klick auf Scan. Wenn der Scan vorbei ist, poste die Datei catchme.log hier.

Danach sehen wir weiter.

ciao, andreas

Hallo,

vielen Dank für die Antwort hier die logs. Bl geht bei mir irgendwie nicht der Treiber kann nicht geladen werde.

Zitat:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 21:42:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

grüsse

Lass noch einmal mbam laufen und poste das Log:
http://www.trojaner-board.de/51187-a...i-malware.html

Reinige anschliessend die Registry mit CCleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Hallo,

habe geschafft BL zum laufen zu bringen und gleich auch nochmal mbam log.

Zitat:

11/30/08 21:52:19 [Info]: BlackLight Engine 2.2.1092 initialized
11/30/08 21:52:19 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/30/08 21:52:19 [Note]: 7019 4
11/30/08 21:52:19 [Note]: 7005 0
11/30/08 21:52:27 [Note]: 7006 0
11/30/08 21:52:27 [Note]: 7011 660
11/30/08 21:52:27 [Note]: 7035 0
11/30/08 21:52:27 [Note]: 7026 0
11/30/08 21:52:28 [Note]: 7026 0
11/30/08 21:52:29 [Note]: FSRAW library version 1.7.1024
11/30/08 21:57:29 [Note]: 7007 0

Zitat:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1439
Windows 5.1.2600 Service Pack 3

30.11.2008 22:03:31
mbam-log-2008-11-30 (22-03-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48405
Laufzeit: 3 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Reinige die Registry mit CCleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Hallo,

CCleaner habe ich nun auch hinter mich gebracht. Soll ich nun die Prüfungen wieder durchführen?

Gruß josy

Ist der Eintrag denn noch da? Es ist kein Rootkit, sondern nur ein verwaister Registryeintrag.

Hallo,

ja ist er er ist ein geladener Treiber und aktiv weiterhin im Gerätemanager zu sehen und in der Registry.

lg

Da du fit genug bist ihn zu finden, bist du auch fit genug ihn von Hand zu entfernen:

1. Systemwiederherstellung deaktivieren
2. Start => Ausführen => regedit => OK
3. [Strg]f
4. LEGACY_PHUNTER[Enter]
5. [Entf] (sollte eine Sicherheitsabfrage kommen, dann Ja klicken)
6. [Pos1]

Jetzt bei 3. wieder anfangen und erst aufhören wenn die Meldung kommt (sinngemäß): Keine weiteren Treffer gefunden.

Neustart, Kontrolle ob Einträge verschwunden sind, falls ja, Systemwiederherstellung aktivieren und neuen Wiederherstellungswert setzen.

Du hast mich mit Titel des Threads in die Irre geführt. Ich war die ganze Zeit auf der Suche nach einer Datei. Die hast du aber schon längst gelöscht, was übrig blieb, sind die verwaisten Registryeinträge.

ciao, andreas

Hallo,

danke dir herzlichst. Habe die Schritte befolgt und entfernen können.

Vielen Dank lg josy