Trojaner / Rootkit

john.doe · 18.05.2009, 23:06

Mittlerweile ist auch die Analyse von der dritten Datei fertig, kannst von Glück sagen, dass das noch nicht aktiv war.
http://www.threatexpert.com/report.a...fe301625968bb3

Gute Nacht, andreas

Holo · 18.05.2009, 23:27

Der Scan sieht schon mal gut aus:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2147
Windows 5.1.2600 Service Pack 3

19.05.2009 00:23:27
mbam-log-2009-05-19 (00-23-27).txt

Scan-Methode: Vollständiger Scan (F:\|)
Durchsuchte Objekte: 108927
Laufzeit: 21 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hijack This log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:32:59, on 19.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir Desktop\sched.exe
F:\Programme\Avira\AntiVir Desktop\avguard.exe
F:\Programme\Java\jre6\bin\jqs.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Avira\AntiVir Desktop\avgnt.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\explorer.exe
F:\Programme\Opera\opera.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2458 bytes

Hier noch die Software-Liste von HijackThis

Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Reader 9.1 - Deutsch
ATI - Software Uninstall Utility
ATI Display Driver
Avira AntiVir Personal - Free Antivirus
Avira RootKit Detection
CCleaner (remove only)
CD Bremse 1.48
Curse Client
DivX Codec
DivX Converter
DivX Player
DivX Web Player
DriverAgent by eSupport.com
EVEREST Home Edition v2.20
HijackThis 2.0.2
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix für Windows Media Player 11 (KB939683)
Hotfix für Windows XP (KB952287)
Hotfix für Windows XP (KB961118)
ImgBurn
Java(TM) 6 Update 13
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0 Service Pack 2
Microsoft .NET Framework 3.0 Service Pack 2
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 3.5 SP1
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Standard Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
NVIDIA Drivers
OpenOffice.org 3.0
Opera 9.63
PeaZip 2.3a
RAM Defrag
Realtek AC'97 Audio
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
Sicherheitsupdate für Windows Media Player (KB952069)
Sicherheitsupdate für Windows Media Player 11 (KB936782)
Sicherheitsupdate für Windows Media Player 11 (KB954154)
Sicherheitsupdate für Windows Media Player 9 (KB911565)
Sicherheitsupdate für Windows XP (KB923561)
Sicherheitsupdate für Windows XP (KB938464)
Sicherheitsupdate für Windows XP (KB941569)
Sicherheitsupdate für Windows XP (KB946648)
Sicherheitsupdate für Windows XP (KB950762)
Sicherheitsupdate für Windows XP (KB950974)
Sicherheitsupdate für Windows XP (KB951066)
Sicherheitsupdate für Windows XP (KB951376-v2)
Sicherheitsupdate für Windows XP (KB951698)
Sicherheitsupdate für Windows XP (KB951748)
Sicherheitsupdate für Windows XP (KB952004)
Sicherheitsupdate für Windows XP (KB952954)
Sicherheitsupdate für Windows XP (KB953838)
Sicherheitsupdate für Windows XP (KB953839)
Sicherheitsupdate für Windows XP (KB954211)
Sicherheitsupdate für Windows XP (KB954459)
Sicherheitsupdate für Windows XP (KB954600)
Sicherheitsupdate für Windows XP (KB955069)
Sicherheitsupdate für Windows XP (KB956391)
Sicherheitsupdate für Windows XP (KB956572)
Sicherheitsupdate für Windows XP (KB956802)
Sicherheitsupdate für Windows XP (KB956803)
Sicherheitsupdate für Windows XP (KB956841)
Sicherheitsupdate für Windows XP (KB957095)
Sicherheitsupdate für Windows XP (KB957097)
Sicherheitsupdate für Windows XP (KB958644)
Sicherheitsupdate für Windows XP (KB958687)
Sicherheitsupdate für Windows XP (KB958690)
Sicherheitsupdate für Windows XP (KB959426)
Sicherheitsupdate für Windows XP (KB960225)
Sicherheitsupdate für Windows XP (KB960715)
Sicherheitsupdate für Windows XP (KB960803)
Sicherheitsupdate für Windows XP (KB961373)
System Requirements Lab
TeamSpeak 2 RC2
Update für Windows XP (KB951072-v2)
Update für Windows XP (KB951978)
Update für Windows XP (KB955839)
Update für Windows XP (KB967715)
Ventrilo Client
VIA Plattform-Geräte-Manager
VIA Rhine-Family Fast-Ethernet Adapter
Wichtiges Update für Windows Media Player 11 (KB959772)
Winamp
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
World of Warcraft
Xvid 1.1.3 final uninstall

Holo · 19.05.2009, 03:20

Anscheinend ist alles klar nun.. blos eins macht mir noch Sorgen:

Start -> Ausführen Msconfig , Reiter Systemstart

Ein (anscheinend die ganze zeit über deaktivierter) häkchenloser Eintrag

KLM\..\Run: [autochk] rundll32.exe F:\WINDOWS\system32\autochk.dll,_IWMPEvents@16 [2009-05-18]

Ich werd mich hüten dan haken vor zu machen.

john.doe · 19.05.2009, 15:51

Kannst du ruhig, die Datei ist gelöscht und somit ist der Eintrag ungefährlich.

Das Log von SUPERAntiSpyware fehlt noch.

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

Holo · 19.05.2009, 18:09

So gleich nach der Arbeit:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/19/2009 at 07:02 PM

Application Version : 4.26.1002

Core Rules Database Version : 3900
Trace Rules Database Version: 1846

Scan type : Complete Scan
Total Scan Time : 01:13:50

Memory items scanned : 425
Memory threats detected : 0
Registry items scanned : 4606
Registry threats detected : 0
File items scanned : 51518
File threats detected : 3

Rogue.FakeAlert/Wallpaper
F:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\MRCRGHIT\WARNING[1].GIF

Trace.Known Threat Sources
F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YNSDKXYZ\winlogon[1].htm
F:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M3GP6L0F\loads[1].htm

john.doe · 19.05.2009, 18:14

SuperAntiSpyware gleich wieder deinstallieren.

ciao, andreas

Holo · 20.05.2009, 06:46

Sry habs gestern nicht mehr geschafft zu posten, hier nun der Kaperskylog:

Code:

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 19. Mai 2009 21:46:02
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.2
 Letztes Update der Antiviren-Datenbanken: 19/05/2009
 Anzahl der Einträge in den Antiviren-Datenbanken: 2197368
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
	F:\WINDOWS
	F:\DOKUME~1\Rob\LOKALE~1\Temp\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 19918
	Viren gefunden: 0
	Infizierte Objekte gefunden: 0
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:39:43

Name des infizierten Objekts / Virusname / Letzte Aktion
F:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
F:\WINDOWS\temp\Perflib_Perfdata_298.dat	Das Objekt ist gesperrt	übersprungen
F:\DOKUME~1\Rob\LOKALE~1\Temp\~DF1D47.tmp	Das Objekt ist gesperrt	übersprungen
F:\DOKUME~1\Rob\LOKALE~1\Temp\~DF2C34.tmp	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.

john.doe · 20.05.2009, 15:33

Wie geht es dem Rechner? Noch irgendwelche Auffälligkeiten?

ciao, andreas

Trojaner / Rootkit

Plagegeister aller Art und deren Bekämpfung: Trojaner / Rootkit