|
Plagegeister aller Art und deren Bekämpfung: Rootkit Agent ODG gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
04.08.2009, 02:31 | #1 |
| Rootkit Agent ODG gefunden Hi, Nod32 meldete mir am Sonntag das ein Rootkit Agent ODG Virus gefunden wurde und nicht entfernt werden kann. Daraufhin hab ich mich bei Google versucht schlau zu machen. Viren Scans im abgesicherten Modus führten allerdings zum Absturz des Computers, im Normalen Modus liefen die jedoch ohne Probleme... jedenfalls von den anti Malware Programmen die noch starteten. Die Abstürze habe ich irgendwann in den Griff bekommen, die Viren werde ich allerdings trotzdem nicht los. Hier mal das GMER log aus dem Safe Mode: GMER 1.0.15.15011 [ckykqyu3.exe] - http://www.gmer.net Rootkit scan 2009-08-04 03:14:09 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- INT 0x63 ? 89AABE80 INT 0x73 ? 89AABE80 INT 0x82 ? 89C0EBF8 INT 0x83 ? 89C0EBF8 INT 0xA4 ? 89AABE80 INT 0xB4 ? 89AABE80 Code 899E3210 ZwEnumerateKey Code 899D01E0 ZwFlushInstructionCache Code 899E91AE IofCallDriver Code 89A34D36 IofCompleteRequest Code 899D9BA5 ZwSaveKey Code 899E29FD ZwSaveKeyEx ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E1397 5 Bytes JMP 899E91B3 .text ntoskrnl.exe!IofCompleteRequest 804E17AD 5 Bytes JMP 89A34D3B .text ntoskrnl.exe!ZwSaveKey 804E429E 5 Bytes JMP 899D9BAA .text ntoskrnl.exe!ZwSaveKeyEx 804E42B2 5 Bytes JMP 899E2A02 PAGE ntoskrnl.exe!ZwEnumerateKey 80578E1C 5 Bytes JMP 899E3214 PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BF9 5 Bytes JMP 899D01E4 ? spyi.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload BA5908AC 5 Bytes JMP 89AAB460 ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89C112D8 IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7507C4C] spyi.sys IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7507CA0] spyi.sys IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D7042] spyi.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D713E] spyi.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D70C0] spyi.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D7800] spyi.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D76D6] spyi.sys IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89AAB560 IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E6E9C] spyi.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89C0D1F8 Device \Driver\usbohci \Device\USBPDO-0 89AAF1F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA01F8 Device \Driver\dmio \Device\DmControl\DmConfig 89BA01F8 Device \Driver\dmio \Device\DmControl\DmPnP 89BA01F8 Device \Driver\dmio \Device\DmControl\DmInfo 89BA01F8 Device \Driver\usbohci \Device\USBPDO-1 89AAF1F8 Device \Driver\usbehci \Device\USBPDO-2 89B1B1F8 Device \Driver\usbohci \Device\USBPDO-3 89AAF1F8 Device \Driver\usbohci \Device\USBPDO-4 89AAF1F8 Device \Driver\usbohci \Device\USBPDO-5 89AAF1F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 89C0F1F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 89C0F1F8 Device \Driver\Cdrom \Device\CdRom0 89B1C1F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 89C0F1F8 Device \Driver\usbohci \Device\USBFDO-0 89AAF1F8 Device \Driver\usbohci \Device\USBFDO-1 89AAF1F8 Device \Driver\usbohci \Device\USBFDO-2 89AAF1F8 Device \Driver\usbohci \Device\USBFDO-3 89AAF1F8 Device \Driver\usbohci \Device\USBFDO-4 89AAF1F8 Device \Driver\Ftdisk \Device\FtControl 89C0F1F8 Device \Driver\usbehci \Device\USBFDO-5 89B1B1F8 Device \FileSystem\Cdfs \Cdfs 8998A1F8 ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [536] 0x00770000 Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [536] 0x00920000 Library \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [764] 0x00770000 Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [764] 0x00920000 Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [956] 0x00BF0000 ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmraupwopqk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmraupwopqk.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqbufthfchj.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACeowiannkle.log Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACdqvmwcfmwr.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACfwydkxqwxh.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfafojorqxv.db Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjqhjnhmfuk.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACechbbxxxea.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmraupwopqk.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmraupwopqk.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqbufthfchj.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACeowiannkle.log Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACdqvmwcfmwr.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACfwydkxqwxh.dat Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfafojorqxv.db Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjqhjnhmfuk.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACechbbxxxea.dll ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\UACdhsyfctpcn.dll 30208 bytes executable File C:\WINDOWS\system32\UACdqvmwcfmwr.dll 74240 bytes executable File C:\WINDOWS\system32\UACechbbxxxea.dll 20480 bytes executable File C:\WINDOWS\system32\UACeowiannkle.log 134 bytes File C:\WINDOWS\system32\UACfafojorqxv.db 1110399 bytes File C:\WINDOWS\system32\UACfwydkxqwxh.dat 310 bytes File C:\WINDOWS\system32\uacinit.dll 6805 bytes File C:\WINDOWS\system32\UACqbufthfchj.dll 26624 bytes executable ---- EOF - GMER 1.0.15 ---- Wenn mir jemand helfen könnte wäre das sehr nett, CureIt und Nod32 laufen beide, entfernen jedoch nichts. Malwarebytes, Spybot z.B. jedoch nicht mehr... |
04.08.2009, 12:45 | #2 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Moin Troub.
__________________Poste bitte den NOD Bericht. Der komplette Dateipfad des Fundes ist wichtig. Erstellung eines Hijacklog
Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken. Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung Erstellung eines RootRepeal Reports
__________________ Geändert von undoreal (04.08.2009 um 12:51 Uhr) |
04.08.2009, 13:48 | #3 |
| Rootkit Agent ODG gefunden HijackThis Log und RootRepeal Report ist im Anhang... beides ausm Safe Mode
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:36:25, on 04.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe H:\This.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe" O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Mit BitComet herunter&laden - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe -- End of file - 5742 bytes |
04.08.2009, 15:21 | #4 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Hallöle. Die logs müssen im normalen Modus gemacht werden! Wenn was aus dem Save Mode heraus getan werden soll dann sagen wir das explizit an...
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
04.08.2009, 15:52 | #5 |
| Rootkit Agent ODG gefunden Ok, dann hier die Scans ausm Normal mode Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:42:40, on 04.08.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE D:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Rainlendar2\Rainlendar2.exe C:\Programme\Skype\Phone\Skype.exe D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Programme\Logitech\SetPoint\SetPoint.exe D:\Programme\Hamachi\hamachi.exe C:\Programme\OpenOffice.org 3\program\soffice.exe C:\Programme\OpenOffice.org 3\program\soffice.bin C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\LaunchPad.exe C:\WINDOWS\system32\wuauclt.exe H:\This.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe" O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-21-1078081533-1417001333-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'dole') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Mit BitComet herunter&laden - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe -- End of file - 7086 bytes |
04.08.2009, 21:18 | #6 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Gut, ich würde gerne was ausprobieren: Prevx
Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop
Code:
ATTFilter Files to delete: C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys C:\WINDOWS\system32\UACrttwpbbipu.dll
__________________ --> Rootkit Agent ODG gefunden |
04.08.2009, 22:02 | #7 |
| Rootkit Agent ODG gefunden Ersma vielen Dank für die Mühe. Prevx will da leider nix löschen, es sei denn ich kauf es. RapidShare: 1-CLICK Web hosting - Easy Filehosting RapidShare: 1-CLICK Web hosting - Easy Filehosting hier die beiden Scan logs von Prevx. So ausgeführt wie angegeben und diesmal auch im Normal Mode Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: "C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf" is a folder, not a file! Deletion of file "C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf" failed! Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY) --> use "Folders to delete:" instead of "Files to delete:" to delete a directory Error: file "C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys" not found! Deletion of file "C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: file "C:\WINDOWS\system32\UACrttwpbbipu.dll" not found! Deletion of file "C:\WINDOWS\system32\UACrttwpbbipu.dll" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Und das ist dann das log vom Avenger. |
04.08.2009, 23:26 | #8 | ||
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Wenn es dich nicht stört möchte ich noch ein zwei Dinge ausprobieren. Das Rootkit ist ganz interessant daher mein Interesse.. Hast du dir das über BitComet gesaugt? Da kommen die Dinger nämlich meistens her. Öffne RootRepeal und wechsel in die Tools -> Wipe,Copy and Delete Sektion. Dort kopiere nacheinander folgende Dateipfade in das Textfeld und klicke auf do operation. Wipe File muss dabei angewählt sein! Zitat:
Zitat:
Scanne nachdem du oben beschriebenes getan hast den Rechner erneut mit gmer, PrevX (deep Scan) und RootRepeal. Starte den Rechner danach nicht neu bis du von mir neue Anweisungen bekommst.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
05.08.2009, 00:16 | #9 |
| Rootkit Agent ODG gefunden hm... Ich hab den Rechner nicht neu gestartet, aber er sich scheinbar selber... Welche Scans soll ich nochmal ausführen? und ja das Ding ist echt interessant, mit den meisten Sachen bin ich bisher immer ganz gut allein klar gekommen, aber das übersteigt mein können. Bitcomet ist seit ewigkeiten nicht mehr gelaufen, das Rootkit ist aber relativ neu denke ich. Also daher kanns eigentlich nicht kommen. |
05.08.2009, 10:08 | #10 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Wann hat er sich selbst neugestartet? Egal, dann reiche mir einfach ein frisches gmer, prevx, und RootRepeal log und starte ihn bis ich dir die Dateinamen gebe nicht neu. Die dürften nämlich bei jedem Neustart neu generiert werden.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (05.08.2009 um 10:44 Uhr) |
05.08.2009, 11:03 | #11 |
| Rootkit Agent ODG gefunden Prevx deep scan RapidShare: 1-CLICK Web hosting - Easy Filehosting GMER 1.0.15.15011 [ckykqyu3.exe] - http://www.gmer.net Rootkit scan 2009-08-05 11:59:01 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- SSDT 88FF2630 ZwAssignProcessToJobObject SSDT sprb.sys ZwCreateKey [0xB9EA70E0] SSDT sprb.sys ZwEnumerateKey [0xB9EC5CA4] SSDT sprb.sys ZwEnumerateValueKey [0xB9EC6032] SSDT sprb.sys ZwOpenKey [0xB9EA70C0] SSDT 88FF1A60 ZwOpenProcess SSDT 88FF1E80 ZwOpenThread SSDT sprb.sys ZwQueryKey [0xB9EC610A] SSDT sprb.sys ZwQueryValueKey [0xB9EC5F8A] SSDT sprb.sys ZwSetValueKey [0xB9EC619C] SSDT 88FF2460 ZwSuspendProcess SSDT 88FF2280 ZwSuspendThread SSDT 88FF1C90 ZwTerminateProcess SSDT 88FF20B0 ZwTerminateThread INT 0x73 ? 89B95BF8 INT 0x73 ? 89B95BF8 INT 0x82 ? 89E52BF8 INT 0x83 ? 89E52BF8 INT 0x83 ? 89E52BF8 INT 0xA4 ? 89B95BF8 INT 0xB4 ? 89B95BF8 ---- Kernel code sections - GMER 1.0.15 ---- ? jlunyhm.sys Das System kann die angegebene Datei nicht finden. ! ? sprb.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B8BF38AC 5 Bytes JMP 89B951D8 ---- User code sections - GMER 1.0.15 ---- .text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1560] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [C2, 04, 00, 00] ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA8042] sprb.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA813E] sprb.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA80C0] sprb.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA8800] sprb.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA86D6] sprb.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB7E9C] sprb.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 89E511F8 AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) Device \FileSystem\Fastfat \FatCdrom 89AA9500 Device \Driver\usbohci \Device\USBPDO-0 89B941F8 Device \Driver\usbohci \Device\USBPDO-1 89B941F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DE31F8 Device \Driver\dmio \Device\DmControl\DmConfig 89DE31F8 Device \Driver\dmio \Device\DmControl\DmPnP 89DE31F8 Device \Driver\dmio \Device\DmControl\DmInfo 89DE31F8 Device \Driver\usbohci \Device\USBPDO-2 89B941F8 Device \Driver\usbohci \Device\USBPDO-3 89B941F8 Device \Driver\usbohci \Device\USBPDO-4 89B941F8 AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) Device \Driver\NetBT \Device\NetBT_Tcpip_{686A6280-BE55-47C7-BFFD-A5EF4681EE3B} 89AAD500 Device \Driver\usbehci \Device\USBPDO-5 89B96500 Device \Driver\Ftdisk \Device\HarddiskVolume1 89E531F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 89E531F8 Device \Driver\Cdrom \Device\CdRom0 89BB5500 Device \Driver\NetBT \Device\NetBT_Tcpip_{76867B5E-B139-4E1E-AD56-DBF8402BD1D2} 89AAD500 Device \Driver\Ftdisk \Device\HarddiskVolume3 89E531F8 Device \Driver\Cdrom \Device\CdRom3 89BB5500 Device \Driver\NetBT \Device\NetBt_Wins_Export 89AAD500 Device \Driver\NetBT \Device\NetBT_Tcpip_{02F34257-5CB2-4644-91C7-F0EE1F95BE5D} 89AAD500 Device \Driver\USBSTOR \Device\00000084 892CA1F8 Device \Driver\USBSTOR \Device\00000085 892CA1F8 Device \Driver\NetBT \Device\NetbiosSmb 89AAD500 Device \Driver\USBSTOR \Device\00000086 892CA1F8 Device \Driver\usbohci \Device\USBFDO-0 89B941F8 Device \Driver\usbohci \Device\USBFDO-1 89B941F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89AB1500 Device \Driver\usbohci \Device\USBFDO-2 89B941F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 89AB1500 Device \Driver\usbohci \Device\USBFDO-3 89B941F8 Device \Driver\usbohci \Device\USBFDO-4 89B941F8 Device \Driver\Ftdisk \Device\FtControl 89E531F8 Device \Driver\usbehci \Device\USBFDO-5 89B96500 Device \FileSystem\Fastfat \Fat 89AA9500 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET) Device \FileSystem\Cdfs \Cdfs 893521F8 ---- Threads - GMER 1.0.15 ---- Thread System [4:496] 88FF0790 ---- Services - GMER 1.0.15 ---- Service system32\drivers\UACrttwpbbipu.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACrttwpbbipu.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACrttwpbbipu.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACxnqqhesibm.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACcrevxornne.dat Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1 Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACrttwpbbipu.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACrttwpbbipu.sys Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACxnqqhesibm.dll Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACcrevxornne.dat ---- EOF - GMER 1.0.15 ---- RootRepeal log RapidShare: 1-CLICK Web hosting - Easy Filehosting |
05.08.2009, 12:26 | #12 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Die c:\windows\system32\sdra64.exe scheint gelöscht zu sein!? Warst du das? Gut, guck mal bitte mit RootRepeal in der Drivers Sektion nach folgendem Eintrag: sprb.sys liegt die Datei in C:\Windows\system32\drivers\sprb.sys ? Wechsel in die hidden Services Sektion und klicke den Eintrag Service Name: UACd.sys Image Path: C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys mit einem Rechtsklick an und wähle Wipe file Danach wipe über die Tools Sektion folgende Dateien (Wipe file): C:\Windows\system32\UACxnqqhesibm.dll C:\Windows\system32\UACcrevxornne.d at c:\windows\system32\uacdhsyfctpcn.dll c:\windows\system32\uacechbbxxxea.dll c:\windows\system32\uacdqvmwcfmwr.dll c:\windows\system32\xa.tmp c:\windows\system32\sdra64.exe Ich möchte wissen ob RootRepeal die Dateien löschen. Wenn er es nicht packt löschen wir die manuell. Das gleiche mit den Registry Keys (Tools -> Delet Registr Keys): HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Services\UACd.sys HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Services\UACd.sys Starte den Rechner danach neu und poste erneut frische logs der drei Porgramme.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (05.08.2009 um 12:36 Uhr) |
05.08.2009, 12:40 | #13 |
| Rootkit Agent ODG gefunden Nein war ich nicht, zumindest nicht bewusst. sprb.sys steht kein wirklicher Pfad, nur der Dateiname, Properties lassen sich auch nicht öffnen, fehlermeldung: Could not find path to file Image Path: C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys mit einem Rechtsklick an und wähle Wipe file Fehlermeldung: Could not find file on disk. c:\windows\system32\sdra64.exe C:\Windows\system32\UACxnqqhesibm.dll C:\Windows\system32\UACcrevxornne.d at bei den 3en jeweils could not find file on disk. die anderen liessen sich löschen |
05.08.2009, 13:14 | #14 |
/// AVZ-Toolkit Guru | Rootkit Agent ODG gefunden Da scheint RR an seine Grenzen zu stoßen. Aber die Erkennung ist echt super.. Scripten mit Combofix
Code:
ATTFilter KILLALL:: DRIVER:: UACd.sys ROOTKIT:: C:\Windows\system32\UACxnqqhesibm.dll C:\Windows\system32\UACcrevxornne.dat c:\windows\system32\uacdhsyfctpcn.dll c:\windows\system32\uacechbbxxxea.dll c:\windows\system32\uacdqvmwcfmwr.dll c:\windows\system32\xa.tmp c:\windows\system32\sdra64.exe C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys REGISTRY:: [-HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Services\UACd.sys] [-HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Services\UACd.sys]
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann PS. Combofix gibt es hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Geändert von undoreal (05.08.2009 um 13:41 Uhr) |
05.08.2009, 13:50 | #15 |
| Rootkit Agent ODG gefunden ComboFix 09-08-04.03 - Chef 05.08.2009 14:44.2.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1395 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\Chef\Desktop\ComboFix.exe AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} * Im Speicher befindliches AV aktiv. . ((((((((((((((((((((((( Dateien erstellt von 2009-07-05 bis 2009-08-05 )))))))))))))))))))))))))))))) . 2009-08-05 12:33 . 2006-12-11 08:20 40960 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\appstop.exe 2009-08-05 12:33 . 2006-12-11 08:20 180224 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\U3AppWrapper.exe 2009-08-05 12:33 . 2006-12-11 08:20 983829 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\master.exe 2009-08-05 12:33 . 2006-12-11 08:20 72192 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\TASKLIST.EXE 2009-08-05 12:33 . 2006-12-11 08:20 72192 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\TASKKILL.EXE 2009-08-05 12:33 . 2006-12-11 08:20 325 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\stopApp.bat 2009-08-05 12:33 . 2006-12-11 08:20 15 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\run_me.bat 2009-08-04 20:39 . 2009-08-04 20:39 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys 2009-08-04 20:39 . 2009-08-04 20:39 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys 2009-08-04 20:39 . 2009-08-04 20:39 -------- d-----w- c:\programme\Prevx 2009-08-04 20:39 . 2009-08-04 20:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI 2009-08-04 15:08 . 2009-08-04 15:08 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET 2009-08-03 14:47 . 2009-08-03 14:47 -------- d-----r- c:\dokumente und einstellungen\Administrator.MARCUS\Eigene Dateien 2009-08-03 10:37 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-08-03 10:37 . 2009-08-03 10:37 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2009-08-03 10:37 . 2009-08-03 10:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-08-03 10:37 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-08-03 10:36 . 2009-08-03 10:36 -------- d-----w- c:\dokumente und einstellungen\Administrator.MARCUS\DoctorWeb 2009-08-03 09:36 . 2009-08-03 09:36 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien 2009-08-03 00:58 . 2009-08-03 16:32 63 ----a-w- c:\windows\system\SysSD.dll 2009-08-03 00:35 . 2009-08-03 00:35 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET 2009-08-02 19:01 . 2009-08-02 19:01 -------- d-----w- c:\dokumente und einstellungen\Chef\DoctorWeb 2009-08-02 18:38 . 2009-08-02 18:38 -------- d-----w- c:\programme\ESET 2009-08-02 08:18 . 2009-08-02 08:20 152576 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll 2009-08-01 18:52 . 2009-08-01 18:52 310 ----a-w- c:\windows\system32\UACfwydkxqwxh.dat 2009-07-29 17:00 . 2009-07-31 00:40 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\dvdcss 2009-07-28 13:09 . 2009-07-28 13:11 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\TeamViewer 2009-07-28 13:08 . 2009-07-28 13:08 -------- d-----w- c:\dokumente und einstellungen\Chef\temp 2009-07-25 07:47 . 2009-07-25 07:47 721904 ----a-w- c:\windows\system32\drivers\sptd.sys 2009-07-25 07:47 . 2009-07-25 07:47 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\DAEMON Tools Lite 2009-07-11 11:56 . 2008-07-31 08:41 238088 ----a-w- c:\windows\system32\xactengine3_2.dll 2009-07-11 11:56 . 2008-07-31 08:41 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll 2009-07-11 11:56 . 2008-07-31 08:40 509448 ----a-w- c:\windows\system32\XAudio2_2.dll 2009-07-11 11:56 . 2008-07-12 06:18 467984 ----a-w- c:\windows\system32\d3dx10_39.dll 2009-07-11 11:56 . 2008-07-12 06:18 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll 2009-07-11 11:56 . 2008-07-12 06:18 1493528 ----a-w- c:\windows\system32\D3DCompiler_39.dll 2009-07-09 14:09 . 2009-07-09 14:09 21840 ----a-w- c:\windows\system32\SIntfNT.dll 2009-07-09 14:09 . 2009-07-09 14:09 17212 ----a-w- c:\windows\system32\SIntf32.dll 2009-07-09 14:09 . 2009-07-09 14:09 12067 ----a-w- c:\windows\system32\SIntf16.dll 2009-07-09 14:02 . 2009-07-09 14:09 33592 ----a-w- c:\windows\DIIUnin.dat 2009-07-09 14:02 . 2009-07-09 14:02 2829 ----a-w- c:\windows\DIIUnin.pif 2009-07-09 14:02 . 2009-07-09 14:02 102400 ----a-w- c:\windows\DIIUnin.exe 2009-07-08 15:10 . 2009-07-30 12:11 1 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-07-08 15:09 . 2009-07-08 15:09 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\OpenOffice.org 2009-07-08 15:08 . 2009-07-08 15:08 -------- d-----w- c:\programme\OpenOffice.org 3 . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-05 12:42 . 2009-05-22 18:09 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Hamachi 2009-08-05 12:40 . 2009-05-04 16:25 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Skype 2009-08-05 12:38 . 2009-05-04 16:27 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\skypePM 2009-08-05 12:33 . 2009-01-10 18:30 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3 2009-08-02 18:35 . 2009-02-16 21:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2009-08-02 08:17 . 2008-11-04 18:56 -------- d-----w- c:\programme\sina 2009-08-02 08:11 . 2009-04-04 15:38 -------- d-----w- c:\programme\Mozilla Thunderbird 2009-07-24 17:01 . 2008-10-22 17:11 24064 ----a-w- c:\dokumente und einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-07-08 15:44 . 2009-01-22 14:48 74664 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat 2009-07-08 15:01 . 2009-02-18 12:26 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\playercachelines.tmp 2009-07-08 15:01 . 2009-02-18 12:19 2269 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\sortedcards.tmp 2009-06-24 19:21 . 2009-06-24 19:21 -------- d-----w- c:\programme\iPod 2009-06-24 19:21 . 2009-04-17 12:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple 2009-06-24 19:20 . 2009-06-24 19:20 -------- d-----w- c:\programme\QuickTime 2009-06-24 19:20 . 2009-04-17 12:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer 2009-06-24 19:18 . 2009-06-24 19:18 75048 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe 2009-06-23 19:56 . 2009-06-23 19:56 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\de.makesoft.twhirl.0EA062BC275E7ED1E6EC3762EFFD73C7158ADF33.1 2009-06-23 19:55 . 2009-06-23 19:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR 2009-06-23 19:55 . 2009-06-23 19:56 38208 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe 2009-06-15 18:12 . 2009-06-15 18:12 10240 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B9141.exe 2009-06-15 18:12 . 2009-06-15 18:12 10240 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B914.exe 2009-06-04 14:33 . 2009-06-04 14:33 3262 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe 2009-06-04 14:33 . 2009-06-04 14:33 10134 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe 2009-05-22 18:09 . 2009-05-22 18:09 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys 2009-05-14 13:49 . 2009-05-14 13:49 94360 ----a-w- c:\windows\system32\drivers\epfwtdir.sys 2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys 2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys 2009-05-08 12:17 . 2009-05-08 12:17 56899 ----a-w- c:\windows\system32\x264-uninstall.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232] "Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568] "Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-21 24264488] "Steam"="d:\programme\Steam\Steam.exe" [2009-07-11 1217784] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinampAgent"="d:\programme\Winamp\winampa.exe" [2008-08-03 36352] "amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016] "Google IME Autoupdater"="c:\programme\Google\Google Pinyin\GooglePinyinDaemon.exe" [2008-10-17 308720] "ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 213936] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696] "iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-06-05 292136] "egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-02-29 76304] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\Chef\Startmen\Programme\Autostart\ hamachi.lnk - d:\programme\Hamachi\hamachi.exe [2009-5-22 625952] OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000] c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\ Adobe Reader Speed Launch.lnk - d:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696] Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2009-1-11 805392] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn] 2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @="Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup] @="" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "d:\\Programme\\BitComet\\BitComet.exe"= "d:\\Programme\\Mozilla Firefox\\firefox.exe"= "c:\\Programme\\sina\\SAP\\SAPlatform.exe"= "c:\\Programme\\SopCast\\adv\\SopAdver.exe"= "c:\\Programme\\SopCast\\SopCast.exe"= "d:\\Games\\GTA\\Rockstar Games Social Club\\RGSCLauncher.exe"= "d:\\Games\\GTA\\Grand Theft Auto IV\\LaunchGTAIV.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\Games\\GTA\\Grand Theft Auto IV\\GTAIV.exe"= "d:\\Programme\\Anno 1701\\Anno1701.exe"= "d:\\Programme\\Anno 1701\\Anno1701AddOn.exe"= "d:\\Programme\\PokerStrategy\\PokerStrategy Elephant\\PokerStrategy Elephant.exe"= "d:\\Games\\Command and Conquer Generals\\game.dat"= "d:\\Games\\Command & Conquer Generäle Stunde Null\\game.dat"= "d:\\Programme\\TVAnts\\Tvants.exe"= "d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "d:\\Programme\\PokerStrategy\\PokerStrategy Equilator\\Equilator.exe"= "d:\\Games\\Sid Meier's Civilization 4\\Civilization4.exe"= "d:\\Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"= "d:\\Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"= "d:\\Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"= "d:\\Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"= "d:\\Programme\\ICQ6.5\\ICQ.exe"= "d:\\Games\\Age of Empires II\\age2_x1\\age2_x1.exe"= "c:\\WINDOWS\\system32\\dplaysvr.exe"= "d:\\Programme\\iTunes\\iTunes.exe"= "d:\\Programme\\Steam\\SteamApps\\common\\dawn of war 2\\DOW2.exe"= "d:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "18306:TCP"= 18306:TCP:BitComet 18306 TCP "18306:UDP"= 18306:UDP:BitComet 18306 UDP R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [04.08.2009 22:39 22024] R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [04.08.2009 22:39 27656] R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.05.2009 15:47 107256] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [14.05.2009 15:49 94360] R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [04.08.2009 22:39 4368952] R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [14.05.2009 15:47 731840] R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?] R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25.01.2008 11:12 25088] S3 PciCon;PciCon;\??\f:\pcicon.sys --> f:\PciCon.sys [?] . . ------- Zusätzlicher Suchlauf ------- . uInternet Settings,ProxyOverride = *.local IE: &Alles mit BitComet herunterladen - d:\programme\BitComet\BitComet.exe/AddAllLink.htm IE: Alle &Videos mit BitComet herunterladen - d:\programme\BitComet\BitComet.exe/AddVideo.htm IE: Mit BitComet herunter&laden - d:\programme\BitComet\BitComet.exe/AddLink.htm DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab FF - ProfilePath - c:\dokumente und einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\kejqjnwo.default\ FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll FF - plugin: c:\programme\Veetle\VLC\npvlc.dll FF - plugin: d:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll FF - plugin: d:\programme\Mozilla Firefox\plugins\np-mswmp.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-05 14:46 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_USERS\S-1-5-21-1078081533-1417001333-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:d9,03,3f,e2,1c,dd,68,87,38,9b,f3,2e,bb,44,4d,be,df,7b,7d,4a,0e,87,3e, af,c6,b1,20,f5,7b,1c,ea,be,4c,de,6a,c4,b1,d9,64,42,a4,2b,04,21,95,5c,50,f7,\ "??"=hex:29,f5,bd,8d,91,58,fa,e2,b6,c4,68,c5,bd,d6,fa,f4 [HKEY_USERS\S-1-5-21-1078081533-1417001333-839522115-1003\Software\SecuROM\License information*] "datasecu"=hex:48,ce,f9,4f,ac,de,86,81,0b,e4,79,1f,1a,4e,5d,36,6c,5c,29,ac,e9, fd,b9,e9,f5,e0,12,d2,69,67,09,95,90,e6,88,ed,dd,bc,2c,7b,7f,9c,77,9b,1f,2d,\ "rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98 . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(1024) c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll - - - - - - - > 'explorer.exe'(2172) d:\programme\Logitech\SetPoint\GameHook.dll d:\programme\Logitech\SetPoint\lgscroll.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . Zeit der Fertigstellung: 2009-08-05 14:47 ComboFix-quarantined-files.txt 2009-08-05 12:46 ComboFix2.txt 2009-08-05 12:40 Vor Suchlauf: 4.663.779.328 Bytes frei Nach Suchlauf: 4.651.630.592 Bytes frei 226 |
Themen zu Rootkit Agent ODG gefunden |
0 bytes, abgesicherten modus, absturz, agent, anti, anti malware, atapi.sys, cdrom, datei, entfernen, explorer.exe, gmer, google, hal.dll, i8042prt.sys, log, malware, malwarebytes, ntoskrnl.exe, odg, programme, registry, rootkit, services, spybot, svchost.exe, system, system32, usbport.sys, viren, virus, virus gefunden, write |