Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit Agent ODG gefunden

Rootkit Agent ODG gefunden


Plagegeister aller Art und deren Bekämpfung: Rootkit Agent ODG gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Seite 1 von 2 1 2
Alt 04.08.2009, 02:31   #1
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Hi,
Nod32 meldete mir am Sonntag das ein Rootkit Agent ODG Virus gefunden wurde und nicht entfernt werden kann. Daraufhin hab ich mich bei Google versucht schlau zu machen. Viren Scans im abgesicherten Modus führten allerdings zum Absturz des Computers, im Normalen Modus liefen die jedoch ohne Probleme... jedenfalls von den anti Malware Programmen die noch starteten. Die Abstürze habe ich irgendwann in den Griff bekommen, die Viren werde ich allerdings trotzdem nicht los.

Hier mal das GMER log aus dem Safe Mode:

GMER 1.0.15.15011 [ckykqyu3.exe] - http://www.gmer.net
Rootkit scan 2009-08-04 03:14:09
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

INT 0x63 ? 89AABE80
INT 0x73 ? 89AABE80
INT 0x82 ? 89C0EBF8
INT 0x83 ? 89C0EBF8
INT 0xA4 ? 89AABE80
INT 0xB4 ? 89AABE80

Code 899E3210 ZwEnumerateKey
Code 899D01E0 ZwFlushInstructionCache
Code 899E91AE IofCallDriver
Code 89A34D36 IofCompleteRequest
Code 899D9BA5 ZwSaveKey
Code 899E29FD ZwSaveKeyEx

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E1397 5 Bytes JMP 899E91B3
.text ntoskrnl.exe!IofCompleteRequest 804E17AD 5 Bytes JMP 89A34D3B
.text ntoskrnl.exe!ZwSaveKey 804E429E 5 Bytes JMP 899D9BAA
.text ntoskrnl.exe!ZwSaveKeyEx 804E42B2 5 Bytes JMP 899E2A02
PAGE ntoskrnl.exe!ZwEnumerateKey 80578E1C 5 Bytes JMP 899E3214
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80587BF9 5 Bytes JMP 899D01E4
? spyi.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload BA5908AC 5 Bytes JMP 89AAB460

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89C112D8
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7507C4C] spyi.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F7507CA0] spyi.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74D7042] spyi.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74D713E] spyi.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74D70C0] spyi.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74D7800] spyi.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74D76D6] spyi.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89AAB560
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74E6E9C] spyi.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89C0D1F8
Device \Driver\usbohci \Device\USBPDO-0 89AAF1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA01F8
Device \Driver\dmio \Device\DmControl\DmConfig 89BA01F8
Device \Driver\dmio \Device\DmControl\DmPnP 89BA01F8
Device \Driver\dmio \Device\DmControl\DmInfo 89BA01F8
Device \Driver\usbohci \Device\USBPDO-1 89AAF1F8
Device \Driver\usbehci \Device\USBPDO-2 89B1B1F8
Device \Driver\usbohci \Device\USBPDO-3 89AAF1F8
Device \Driver\usbohci \Device\USBPDO-4 89AAF1F8
Device \Driver\usbohci \Device\USBPDO-5 89AAF1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 89C0F1F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89C0F1F8
Device \Driver\Cdrom \Device\CdRom0 89B1C1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 89C0F1F8
Device \Driver\usbohci \Device\USBFDO-0 89AAF1F8
Device \Driver\usbohci \Device\USBFDO-1 89AAF1F8
Device \Driver\usbohci \Device\USBFDO-2 89AAF1F8
Device \Driver\usbohci \Device\USBFDO-3 89AAF1F8
Device \Driver\usbohci \Device\USBFDO-4 89AAF1F8
Device \Driver\Ftdisk \Device\FtControl 89C0F1F8
Device \Driver\usbehci \Device\USBFDO-5 89B1B1F8
Device \FileSystem\Cdfs \Cdfs 8998A1F8
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [536] 0x00770000
Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [536] 0x00920000
Library \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [764] 0x00770000
Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [764] 0x00920000
Library \\?\globalroot\systemroot\system32\UACechbbxxxea.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [956] 0x00BF0000

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmraupwopqk.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmraupwopqk.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqbufthfchj.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACeowiannkle.log
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACdqvmwcfmwr.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACfwydkxqwxh.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfafojorqxv.db
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjqhjnhmfuk.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACechbbxxxea.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACmraupwopqk.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACmraupwopqk.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACqbufthfchj.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACerrors \\?\globalroot\systemroot\system32\UACeowiannkle.log
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacbbr \\?\globalroot\systemroot\system32\UACdqvmwcfmwr.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacsr \\?\globalroot\systemroot\system32\UACfwydkxqwxh.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmal \\?\globalroot\systemroot\system32\UACfafojorqxv.db
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacrem \\?\globalroot\systemroot\system32\UACdhsyfctpcn.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacmask \\?\globalroot\systemroot\system32\UACjqhjnhmfuk.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACechbbxxxea.dll

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\UACdhsyfctpcn.dll 30208 bytes executable
File C:\WINDOWS\system32\UACdqvmwcfmwr.dll 74240 bytes executable
File C:\WINDOWS\system32\UACechbbxxxea.dll 20480 bytes executable
File C:\WINDOWS\system32\UACeowiannkle.log 134 bytes
File C:\WINDOWS\system32\UACfafojorqxv.db 1110399 bytes
File C:\WINDOWS\system32\UACfwydkxqwxh.dat 310 bytes
File C:\WINDOWS\system32\uacinit.dll 6805 bytes
File C:\WINDOWS\system32\UACqbufthfchj.dll 26624 bytes executable

---- EOF - GMER 1.0.15 ----

Wenn mir jemand helfen könnte wäre das sehr nett, CureIt und Nod32 laufen beide, entfernen jedoch nichts. Malwarebytes, Spybot z.B. jedoch nicht mehr...

Alt 04.08.2009, 12:45   #2
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Moin Troub.

Poste bitte den NOD Bericht. Der komplette Dateipfad des Fundes ist wichtig.

Erstellung eines Hijacklog
  • Hier gibt es das Tool -> HijackThis
  • Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
  • Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
  • (Klick rechte Maustaste -> umbenennen)
  • Starte nun mit Doppelklick auf This.com
  • Klicke auf den rot markierten Button Do a system scan and save a log file
  • Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Eine bebilderte Anleitung findet sich in unserem FAQ-Bereich: HJT-Anleitung



Erstellung eines RootRepeal Reports
  • Downloade dir RootRepeal hier: http://ad13.geekstogo.com/RootRepeal.rar
  • Schließe alle AntiVirus Wächter die im Hintergrund arbeiten.
  • Entpacke das Archiv.
  • Starte die RootRepeal.exe als Administrator.
  • Wechsel in den Reiter <Report> der sich am unteren Rand des Programmfensters befindet.
  • Drücke danach den "Scan" Button. -> Setze alle Haken und drücke "oK".
  • Wähle die Festplatte aus auf der Windows installiert ist. (Normalerweise ist das C:\)
  • Nachdem der Scan beendet ist (das kann recht lange dauern) öffnet sich ein Fenster welches dir den Report zeigt. Speichere den Bericht (Datei->Speichern unter) und hänge die .txt Datei an deinen nächsten Post an.
__________________

__________________
Geändert von undoreal (04.08.2009 um 12:51 Uhr)

Alt 04.08.2009, 13:48   #3
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


HijackThis Log und RootRepeal Report ist im Anhang... beides ausm Safe Mode

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:36:25, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
H:\This.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 5742 bytes
__________________
Alt 04.08.2009, 15:21   #4
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Hallöle.

Die logs müssen im normalen Modus gemacht werden!

Wenn was aus dem Save Mode heraus getan werden soll dann sagen wir das explizit an...
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 04.08.2009, 15:52   #5
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Ok, dann hier die Scans ausm Normal mode

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:42:40, on 04.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Logitech\SetPoint\SetPoint.exe
D:\Programme\Hamachi\hamachi.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\LaunchPad.exe
C:\WINDOWS\system32\wuauclt.exe
H:\This.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Google IME Autoupdater] "C:\Programme\Google\Google Pinyin\GooglePinyinDaemon.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\Programme\Steam\Steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1078081533-1417001333-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'dole')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = D:\Programme\Hamachi\hamachi.exe
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &Alles mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Alle &Videos mit BitComet herunterladen - res://D:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Mit BitComet herunter&laden - res://D:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - D:\Programme\Titan Poker\casino.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Programme\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - http://dl.uc.sina.com/cab/downloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTServ.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Programme\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 7086 bytes


Alt 04.08.2009, 21:18   #6
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Gut, ich würde gerne was ausprobieren:

Prevx
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Deaktiviere die Wächter aller anderen AntiViren Produkte!

  • Downloade dir Prevx und installiere das Programm wie vorgeschlagen.
  • Der Computer wird dabei überprüft. Sollte der Trojaner gefunden werden so folge bitte den vorgeschlagenen Desinfektions Methoden.
  • Nachdem der Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "Scan bei Installation"
  • Nachdem die Installation abgeschlossen ist wechsel im Hauptfenster des Programms in die Settings Sektion. Dort findest du die Heuristic Settings Sektion.
  • Dort schiebe bitte den obersten Regler Advanced Heuristics Settings ganz nach rechts auf Maximum!
  • Klicke danach den blauen Button Save Changes um die Änderungen zu speichern.
  • Starte den Rechner neu.
  • Stelle sicher, dass dein Computer mit dem Internet verbunden ist! Eine aktive Internetverbindung ist für Scans mit Prevx absolut erforderlich!
  • Wechsel aus dem Hauptfenster wieder in die Tools Sektion und wähle dort Advanced Scan -> Deep Scan -> Scan now aus.
  • Nachdem der deep Scan beendet ist und die Bereinigung abgeschlossen wähle im Hauptfenster die Tools Sektion aus und klicke danach Save the last Scan an. Wähle als Speicherort den Desktop und gib der Datei den Namen: "depp Scan".
  • Beide auf dem Desktop gespeicherten logs lade bitte bei rapidshare hoch und poste die Downloadlinks in deinem nächsten Beitrag!


Anleitung Avenger (by swandog46)
Lade dir das Tool Avenger und speichere es auf dem Desktop
  • Starte das Programm durch einen Doppelklick auf das Avenger Symbol:
    .
  • Setze den Haken bei "Automatically disable any rootkits found"
  • Kopiere nun folgenden Text in das weiße Feld bei -> "Input script here"
Code:
ATTFilter
Files to delete:
C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf
C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys
C:\WINDOWS\system32\UACrttwpbbipu.dll
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Forum.
__________________
--> Rootkit Agent ODG gefunden

Alt 04.08.2009, 22:02   #7
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Ersma vielen Dank für die Mühe.
Prevx will da leider nix löschen, es sei denn ich kauf es.

RapidShare: 1-CLICK Web hosting - Easy Filehosting
RapidShare: 1-CLICK Web hosting - Easy Filehosting

hier die beiden Scan logs von Prevx. So ausgeführt wie angegeben und diesmal auch im Normal Mode

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: "C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf" is a folder, not a file!
Deletion of file "C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\NYDJUVXS\is5.myvideo.de\de\player\player_Vming7d.swf" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory


Error: file "C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\UACrttwpbbipu.dll" not found!
Deletion of file "C:\WINDOWS\system32\UACrttwpbbipu.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Und das ist dann das log vom Avenger.

Alt 04.08.2009, 23:26   #8
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Wenn es dich nicht stört möchte ich noch ein zwei Dinge ausprobieren. Das Rootkit ist ganz interessant daher mein Interesse..
Hast du dir das über BitComet gesaugt? Da kommen die Dinger nämlich meistens her.

Öffne RootRepeal und wechsel in die Tools -> Wipe,Copy and Delete Sektion.

Dort kopiere nacheinander folgende Dateipfade in das Textfeld und klicke auf do operation. Wipe File muss dabei angewählt sein!
Zitat:
c:\windows\system32\uacdhsyfctpcn.dll
c:\windows\system32\uacechbbxxxea.dll
c:\windows\system32\uacdqvmwcfmwr.dll
C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys
c:\windows\system32\xa.tmp
c:\windows\system32\sdra64.exe
C:\WINDOWS\system32\uacinit.dll
Danach Tools -> Delete Registry Key:
Zitat:
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Services\UACd.sys
Das ganze wird nur funktionieren wenn du den Rechner seit dem GMER und PrevX bzw RootRepeal Scan nicht mehr neugestartet hast.


Scanne nachdem du oben beschriebenes getan hast den Rechner erneut mit gmer, PrevX (deep Scan) und RootRepeal.
Starte den Rechner danach nicht neu bis du von mir neue Anweisungen bekommst.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 05.08.2009, 00:16   #9
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


hm... Ich hab den Rechner nicht neu gestartet, aber er sich scheinbar selber...
Welche Scans soll ich nochmal ausführen? und ja das Ding ist echt interessant, mit den meisten Sachen bin ich bisher immer ganz gut allein klar gekommen, aber das übersteigt mein können.

Bitcomet ist seit ewigkeiten nicht mehr gelaufen, das Rootkit ist aber relativ neu denke ich. Also daher kanns eigentlich nicht kommen.

Alt 05.08.2009, 10:08   #10
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Wann hat er sich selbst neugestartet?

Egal, dann reiche mir einfach ein frisches gmer, prevx, und RootRepeal log und starte ihn bis ich dir die Dateinamen gebe nicht neu. Die dürften nämlich bei jedem Neustart neu generiert werden.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Geändert von undoreal (05.08.2009 um 10:44 Uhr)

Alt 05.08.2009, 11:03   #11
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Prevx deep scan
RapidShare: 1-CLICK Web hosting - Easy Filehosting

GMER 1.0.15.15011 [ckykqyu3.exe] - http://www.gmer.net
Rootkit scan 2009-08-05 11:59:01
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT 88FF2630 ZwAssignProcessToJobObject
SSDT sprb.sys ZwCreateKey [0xB9EA70E0]
SSDT sprb.sys ZwEnumerateKey [0xB9EC5CA4]
SSDT sprb.sys ZwEnumerateValueKey [0xB9EC6032]
SSDT sprb.sys ZwOpenKey [0xB9EA70C0]
SSDT 88FF1A60 ZwOpenProcess
SSDT 88FF1E80 ZwOpenThread
SSDT sprb.sys ZwQueryKey [0xB9EC610A]
SSDT sprb.sys ZwQueryValueKey [0xB9EC5F8A]
SSDT sprb.sys ZwSetValueKey [0xB9EC619C]
SSDT 88FF2460 ZwSuspendProcess
SSDT 88FF2280 ZwSuspendThread
SSDT 88FF1C90 ZwTerminateProcess
SSDT 88FF20B0 ZwTerminateThread

INT 0x73 ? 89B95BF8
INT 0x73 ? 89B95BF8
INT 0x82 ? 89E52BF8
INT 0x83 ? 89E52BF8
INT 0x83 ? 89E52BF8
INT 0xA4 ? 89B95BF8
INT 0xB4 ? 89B95BF8

---- Kernel code sections - GMER 1.0.15 ----

? jlunyhm.sys Das System kann die angegebene Datei nicht finden. !
? sprb.sys Das System kann die angegebene Datei nicht finden. !
.text USBPORT.SYS!DllUnload B8BF38AC 5 Bytes JMP 89B951D8

---- User code sections - GMER 1.0.15 ----

.text C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe[1560] kernel32.dll!SetUnhandledExceptionFilter 7C8449FD 4 Bytes [C2, 04, 00, 00]

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA8042] sprb.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA813E] sprb.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA80C0] sprb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA8800] sprb.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA86D6] sprb.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB7E9C] sprb.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 89E511F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

Device \FileSystem\Fastfat \FatCdrom 89AA9500
Device \Driver\usbohci \Device\USBPDO-0 89B941F8
Device \Driver\usbohci \Device\USBPDO-1 89B941F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 89DE31F8
Device \Driver\dmio \Device\DmControl\DmConfig 89DE31F8
Device \Driver\dmio \Device\DmControl\DmPnP 89DE31F8
Device \Driver\dmio \Device\DmControl\DmInfo 89DE31F8
Device \Driver\usbohci \Device\USBPDO-2 89B941F8
Device \Driver\usbohci \Device\USBPDO-3 89B941F8
Device \Driver\usbohci \Device\USBPDO-4 89B941F8

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

Device \Driver\NetBT \Device\NetBT_Tcpip_{686A6280-BE55-47C7-BFFD-A5EF4681EE3B} 89AAD500
Device \Driver\usbehci \Device\USBPDO-5 89B96500
Device \Driver\Ftdisk \Device\HarddiskVolume1 89E531F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 89E531F8
Device \Driver\Cdrom \Device\CdRom0 89BB5500
Device \Driver\NetBT \Device\NetBT_Tcpip_{76867B5E-B139-4E1E-AD56-DBF8402BD1D2} 89AAD500
Device \Driver\Ftdisk \Device\HarddiskVolume3 89E531F8
Device \Driver\Cdrom \Device\CdRom3 89BB5500
Device \Driver\NetBT \Device\NetBt_Wins_Export 89AAD500
Device \Driver\NetBT \Device\NetBT_Tcpip_{02F34257-5CB2-4644-91C7-F0EE1F95BE5D} 89AAD500
Device \Driver\USBSTOR \Device\00000084 892CA1F8
Device \Driver\USBSTOR \Device\00000085 892CA1F8
Device \Driver\NetBT \Device\NetbiosSmb 89AAD500
Device \Driver\USBSTOR \Device\00000086 892CA1F8
Device \Driver\usbohci \Device\USBFDO-0 89B941F8
Device \Driver\usbohci \Device\USBFDO-1 89B941F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89AB1500
Device \Driver\usbohci \Device\USBFDO-2 89B941F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89AB1500
Device \Driver\usbohci \Device\USBFDO-3 89B941F8
Device \Driver\usbohci \Device\USBFDO-4 89B941F8
Device \Driver\Ftdisk \Device\FtControl 89E531F8
Device \Driver\usbehci \Device\USBFDO-5 89B96500
Device \FileSystem\Fastfat \Fat 89AA9500

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

Device \FileSystem\Cdfs \Cdfs 893521F8

---- Threads - GMER 1.0.15 ----

Thread System [4:496] 88FF0790

---- Services - GMER 1.0.15 ----

Service system32\drivers\UACrttwpbbipu.sys (*** hidden *** ) [SYSTEM] UACd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACrttwpbbipu.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACrttwpbbipu.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACxnqqhesibm.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACcrevxornne.dat
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACrttwpbbipu.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACrttwpbbipu.sys
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UACxnqqhesibm.dll
Reg HKLM\SYSTEM\ControlSet003\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACcrevxornne.dat

---- EOF - GMER 1.0.15 ----

RootRepeal log
RapidShare: 1-CLICK Web hosting - Easy Filehosting

Alt 05.08.2009, 12:26   #12
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Die c:\windows\system32\sdra64.exe scheint gelöscht zu sein!? Warst du das?

Gut, guck mal bitte mit RootRepeal in der Drivers Sektion nach folgendem Eintrag:
sprb.sys liegt die Datei in C:\Windows\system32\drivers\sprb.sys ?

Wechsel in die hidden Services Sektion und klicke den Eintrag
Service Name: UACd.sys
Image Path: C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys mit einem Rechtsklick an und wähle Wipe file


Danach wipe über die Tools Sektion folgende Dateien (Wipe file):

C:\Windows\system32\UACxnqqhesibm.dll
C:\Windows\system32\UACcrevxornne.d at
c:\windows\system32\uacdhsyfctpcn.dll
c:\windows\system32\uacechbbxxxea.dll
c:\windows\system32\uacdqvmwcfmwr.dll
c:\windows\system32\xa.tmp
c:\windows\system32\sdra64.exe

Ich möchte wissen ob RootRepeal die Dateien löschen. Wenn er es nicht packt löschen wir die manuell.

Das gleiche mit den Registry Keys (Tools -> Delet Registr Keys):
HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Services\UACd.sys
HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Services\UACd.sys
Starte den Rechner danach neu und poste erneut frische logs der drei Porgramme.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Geändert von undoreal (05.08.2009 um 12:36 Uhr)

Alt 05.08.2009, 12:40   #13
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Nein war ich nicht, zumindest nicht bewusst.

sprb.sys steht kein wirklicher Pfad, nur der Dateiname, Properties lassen sich auch nicht öffnen, fehlermeldung: Could not find path to file

Image Path: C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys mit einem Rechtsklick an und wähle Wipe file Fehlermeldung: Could not find file on disk.

c:\windows\system32\sdra64.exe
C:\Windows\system32\UACxnqqhesibm.dll
C:\Windows\system32\UACcrevxornne.d at

bei den 3en jeweils could not find file on disk.
die anderen liessen sich löschen

Alt 05.08.2009, 13:14   #14
undoreal
/// AVZ-Toolkit Guru
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


Da scheint RR an seine Grenzen zu stoßen. Aber die Erkennung ist echt super..

Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
KILLALL::

DRIVER::
UACd.sys

ROOTKIT::
C:\Windows\system32\UACxnqqhesibm.dll
C:\Windows\system32\UACcrevxornne.dat
c:\windows\system32\uacdhsyfctpcn.dll
c:\windows\system32\uacechbbxxxea.dll
c:\windows\system32\uacdqvmwcfmwr.dll
c:\windows\system32\xa.tmp
c:\windows\system32\sdra64.exe 
C:\WINDOWS\system32\drivers\UACrttwpbbipu.sys

REGISTRY::
[-HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Services\UACd.sys]
[-HKEY_LOCAL_MACHINE SYSTEM\ControlSet003\Services\UACd.sys]
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


PS. Combofix gibt es hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Geändert von undoreal (05.08.2009 um 13:41 Uhr)

Alt 05.08.2009, 13:50   #15
Troub
 
Rootkit Agent ODG gefunden - Standard

Rootkit Agent ODG gefunden


ComboFix 09-08-04.03 - Chef 05.08.2009 14:44.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1395 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Chef\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Im Speicher befindliches AV aktiv.

.

((((((((((((((((((((((( Dateien erstellt von 2009-07-05 bis 2009-08-05 ))))))))))))))))))))))))))))))
.

2009-08-05 12:33 . 2006-12-11 08:20 40960 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\appstop.exe
2009-08-05 12:33 . 2006-12-11 08:20 180224 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\U3AppWrapper.exe
2009-08-05 12:33 . 2006-12-11 08:20 983829 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\master.exe
2009-08-05 12:33 . 2006-12-11 08:20 72192 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\TASKLIST.EXE
2009-08-05 12:33 . 2006-12-11 08:20 72192 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\TASKKILL.EXE
2009-08-05 12:33 . 2006-12-11 08:20 325 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\stopApp.bat
2009-08-05 12:33 . 2006-12-11 08:20 15 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3\0000188C36734859\79EB5C19-AB0E-4dd7-BE89-BF96301D35Z8\Exec\run_me.bat
2009-08-04 20:39 . 2009-08-04 20:39 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-08-04 20:39 . 2009-08-04 20:39 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-08-04 20:39 . 2009-08-04 20:39 -------- d-----w- c:\programme\Prevx
2009-08-04 20:39 . 2009-08-04 20:41 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-04 15:08 . 2009-08-04 15:08 -------- d-----w- c:\dokumente und einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\ESET
2009-08-03 14:47 . 2009-08-03 14:47 -------- d-----r- c:\dokumente und einstellungen\Administrator.MARCUS\Eigene Dateien
2009-08-03 10:37 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 10:37 . 2009-08-03 10:37 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-08-03 10:37 . 2009-08-03 10:37 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-08-03 10:37 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-03 10:36 . 2009-08-03 10:36 -------- d-----w- c:\dokumente und einstellungen\Administrator.MARCUS\DoctorWeb
2009-08-03 09:36 . 2009-08-03 09:36 -------- d-----r- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-08-03 00:58 . 2009-08-03 16:32 63 ----a-w- c:\windows\system\SysSD.dll
2009-08-03 00:35 . 2009-08-03 00:35 -------- d-----w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET
2009-08-02 19:01 . 2009-08-02 19:01 -------- d-----w- c:\dokumente und einstellungen\Chef\DoctorWeb
2009-08-02 18:38 . 2009-08-02 18:38 -------- d-----w- c:\programme\ESET
2009-08-02 08:18 . 2009-08-02 08:20 152576 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Sun\Java\jre1.6.0_14\lzma.dll
2009-08-01 18:52 . 2009-08-01 18:52 310 ----a-w- c:\windows\system32\UACfwydkxqwxh.dat
2009-07-29 17:00 . 2009-07-31 00:40 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\dvdcss
2009-07-28 13:09 . 2009-07-28 13:11 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\TeamViewer
2009-07-28 13:08 . 2009-07-28 13:08 -------- d-----w- c:\dokumente und einstellungen\Chef\temp
2009-07-25 07:47 . 2009-07-25 07:47 721904 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-07-25 07:47 . 2009-07-25 07:47 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\DAEMON Tools Lite
2009-07-11 11:56 . 2008-07-31 08:41 238088 ----a-w- c:\windows\system32\xactengine3_2.dll
2009-07-11 11:56 . 2008-07-31 08:41 68616 ----a-w- c:\windows\system32\XAPOFX1_1.dll
2009-07-11 11:56 . 2008-07-31 08:40 509448 ----a-w- c:\windows\system32\XAudio2_2.dll
2009-07-11 11:56 . 2008-07-12 06:18 467984 ----a-w- c:\windows\system32\d3dx10_39.dll
2009-07-11 11:56 . 2008-07-12 06:18 3851784 ----a-w- c:\windows\system32\D3DX9_39.dll
2009-07-11 11:56 . 2008-07-12 06:18 1493528 ----a-w- c:\windows\system32\D3DCompiler_39.dll
2009-07-09 14:09 . 2009-07-09 14:09 21840 ----a-w- c:\windows\system32\SIntfNT.dll
2009-07-09 14:09 . 2009-07-09 14:09 17212 ----a-w- c:\windows\system32\SIntf32.dll
2009-07-09 14:09 . 2009-07-09 14:09 12067 ----a-w- c:\windows\system32\SIntf16.dll
2009-07-09 14:02 . 2009-07-09 14:09 33592 ----a-w- c:\windows\DIIUnin.dat
2009-07-09 14:02 . 2009-07-09 14:02 2829 ----a-w- c:\windows\DIIUnin.pif
2009-07-09 14:02 . 2009-07-09 14:02 102400 ----a-w- c:\windows\DIIUnin.exe
2009-07-08 15:10 . 2009-07-30 12:11 1 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-07-08 15:09 . 2009-07-08 15:09 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\OpenOffice.org
2009-07-08 15:08 . 2009-07-08 15:08 -------- d-----w- c:\programme\OpenOffice.org 3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-05 12:42 . 2009-05-22 18:09 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Hamachi
2009-08-05 12:40 . 2009-05-04 16:25 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Skype
2009-08-05 12:38 . 2009-05-04 16:27 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\skypePM
2009-08-05 12:33 . 2009-01-10 18:30 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\U3
2009-08-02 18:35 . 2009-02-16 21:47 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-08-02 08:17 . 2008-11-04 18:56 -------- d-----w- c:\programme\sina
2009-08-02 08:11 . 2009-04-04 15:38 -------- d-----w- c:\programme\Mozilla Thunderbird
2009-07-24 17:01 . 2008-10-22 17:11 24064 ----a-w- c:\dokumente und einstellungen\Chef\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-07-08 15:44 . 2009-01-22 14:48 74664 ----a-w- c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
2009-07-08 15:01 . 2009-02-18 12:26 0 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\playercachelines.tmp
2009-07-08 15:01 . 2009-02-18 12:19 2269 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\sortedcards.tmp
2009-06-24 19:21 . 2009-06-24 19:21 -------- d-----w- c:\programme\iPod
2009-06-24 19:21 . 2009-04-17 12:29 -------- d-----w- c:\programme\Gemeinsame Dateien\Apple
2009-06-24 19:20 . 2009-06-24 19:20 -------- d-----w- c:\programme\QuickTime
2009-06-24 19:20 . 2009-04-17 12:30 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer
2009-06-24 19:18 . 2009-06-24 19:18 75048 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 8.2.0.23\SetupAdmin.exe
2009-06-23 19:56 . 2009-06-23 19:56 -------- d-----w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\de.makesoft.twhirl.0EA062BC275E7ED1E6EC3762EFFD73C7158ADF33.1
2009-06-23 19:55 . 2009-06-23 19:55 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe AIR
2009-06-23 19:55 . 2009-06-23 19:56 38208 ----a-w- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
2009-06-15 18:12 . 2009-06-15 18:12 10240 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B9141.exe
2009-06-15 18:12 . 2009-06-15 18:12 10240 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{BAC3B914-9A96-4097-A5C7-7BF0CAD679D3}\IconBAC3B914.exe
2009-06-04 14:33 . 2009-06-04 14:33 3262 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\controlPanelIcon.exe
2009-06-04 14:33 . 2009-06-04 14:33 10134 ----a-r- c:\dokumente und einstellungen\Chef\Anwendungsdaten\Microsoft\Installer\{22B0E143-2B0B-435B-9F56-136A3D16065F}\SystemFolder_msiexec.exe
2009-05-22 18:09 . 2009-05-22 18:09 25280 ----a-w- c:\windows\system32\drivers\hamachi.sys
2009-05-14 13:49 . 2009-05-14 13:49 94360 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2009-05-14 13:47 . 2009-05-14 13:47 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-05-14 13:41 . 2009-05-14 13:41 114472 ----a-w- c:\windows\system32\drivers\eamon.sys
2009-05-08 12:17 . 2009-05-08 12:17 56899 ----a-w- c:\windows\system32\x264-uninstall.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]
"Rainlendar2"="c:\programme\Rainlendar2\Rainlendar2.exe" [2009-02-21 4333568]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-04-21 24264488]
"Steam"="d:\programme\Steam\Steam.exe" [2009-07-11 1217784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="d:\programme\Winamp\winampa.exe" [2008-08-03 36352]
"amd_dc_opt"="c:\programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"Google IME Autoupdater"="c:\programme\Google\Google Pinyin\GooglePinyinDaemon.exe" [2008-10-17 308720]
"ISUSPM"="c:\programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 213936]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-05-26 413696]
"iTunesHelper"="d:\programme\iTunes\iTunesHelper.exe" [2009-06-05 292136]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2009-05-14 2029640]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-04-12 16132608]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" - c:\windows\KHALMNPR.Exe [2008-02-29 76304]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Chef\Startmen\Programme\Autostart\
hamachi.lnk - d:\programme\Hamachi\hamachi.exe [2009-5-22 625952]
OpenOffice.org 3.1.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader Speed Launch.lnk - d:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
Logitech SetPoint.lnk - d:\programme\Logitech\SetPoint\SetPoint.exe [2009-1-11 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 00:42 72208 ----a-w- c:\programme\Gemeinsame Dateien\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\BitComet\\BitComet.exe"=
"d:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\sina\\SAP\\SAPlatform.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"d:\\Games\\GTA\\Rockstar Games Social Club\\RGSCLauncher.exe"=
"d:\\Games\\GTA\\Grand Theft Auto IV\\LaunchGTAIV.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Games\\GTA\\Grand Theft Auto IV\\GTAIV.exe"=
"d:\\Programme\\Anno 1701\\Anno1701.exe"=
"d:\\Programme\\Anno 1701\\Anno1701AddOn.exe"=
"d:\\Programme\\PokerStrategy\\PokerStrategy Elephant\\PokerStrategy Elephant.exe"=
"d:\\Games\\Command and Conquer Generals\\game.dat"=
"d:\\Games\\Command & Conquer Generäle Stunde Null\\game.dat"=
"d:\\Programme\\TVAnts\\Tvants.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"d:\\Programme\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"d:\\Programme\\PokerStrategy\\PokerStrategy Equilator\\Equilator.exe"=
"d:\\Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"d:\\Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"d:\\Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"d:\\Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"d:\\Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Programme\\InterVideo\\DVD8\\WinDVD.exe"=
"d:\\Programme\\ICQ6.5\\ICQ.exe"=
"d:\\Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Programme\\iTunes\\iTunes.exe"=
"d:\\Programme\\Steam\\SteamApps\\common\\dawn of war 2\\DOW2.exe"=
"d:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18306:TCP"= 18306:TCP:BitComet 18306 TCP
"18306:UDP"= 18306:UDP:BitComet 18306 UDP

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [04.08.2009 22:39 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [04.08.2009 22:39 27656]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.05.2009 15:47 107256]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [14.05.2009 15:49 94360]
R2 CSIScanner;CSIScanner;c:\programme\Prevx\prevx.exe [04.08.2009 22:39 4368952]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [14.05.2009 15:47 731840]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N "pgsql-8.3" -D "c:\programme\PostgreSQL\8.3\data\" --> c:\programme\PostgreSQL\8.3\bin\pg_ctl.exe runservice -w -N pgsql-8.3 [?]
R3 teamviewervpn;TeamViewer VPN Adapter;c:\windows\system32\drivers\teamviewervpn.sys [25.01.2008 11:12 25088]
S3 PciCon;PciCon;\??\f:\pcicon.sys --> f:\PciCon.sys [?]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Alles mit BitComet herunterladen - d:\programme\BitComet\BitComet.exe/AddAllLink.htm
IE: Alle &Videos mit BitComet herunterladen - d:\programme\BitComet\BitComet.exe/AddVideo.htm
IE: Mit BitComet herunter&laden - d:\programme\BitComet\BitComet.exe/AddLink.htm
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\kejqjnwo.default\
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
FF - plugin: d:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: d:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\programme\iTunes\Mozilla Plugins\npitunes.dll
FF - plugin: d:\programme\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-05 14:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1078081533-1417001333-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:d9,03,3f,e2,1c,dd,68,87,38,9b,f3,2e,bb,44,4d,be,df,7b,7d,4a,0e,87,3e,
af,c6,b1,20,f5,7b,1c,ea,be,4c,de,6a,c4,b1,d9,64,42,a4,2b,04,21,95,5c,50,f7,\
"??"=hex:29,f5,bd,8d,91,58,fa,e2,b6,c4,68,c5,bd,d6,fa,f4

[HKEY_USERS\S-1-5-21-1078081533-1417001333-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:48,ce,f9,4f,ac,de,86,81,0b,e4,79,1f,1a,4e,5d,36,6c,5c,29,ac,e9,
fd,b9,e9,f5,e0,12,d2,69,67,09,95,90,e6,88,ed,dd,bc,2c,7b,7f,9c,77,9b,1f,2d,\
"rkeysecu"=hex:2f,0f,d5,3e,02,2b,06,63,b1,0b,dd,b6,71,e2,54,98
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1024)
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logitech\bluetooth\LBTServ.dll

- - - - - - - > 'explorer.exe'(2172)
d:\programme\Logitech\SetPoint\GameHook.dll
d:\programme\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2009-08-05 14:47
ComboFix-quarantined-files.txt 2009-08-05 12:46
ComboFix2.txt 2009-08-05 12:40

Vor Suchlauf: 4.663.779.328 Bytes frei
Nach Suchlauf: 4.651.630.592 Bytes frei

226

Antwort
Seite 1 von 2 1 2

Themen zu Rootkit Agent ODG gefunden
0 bytes, abgesicherten modus, absturz, agent, anti, anti malware, atapi.sys, cdrom, datei, entfernen, explorer.exe, gmer, google, hal.dll, i8042prt.sys, log, malware, malwarebytes, ntoskrnl.exe, odg, programme, registry, rootkit, services, spybot, svchost.exe, system, system32, usbport.sys, viren, virus, virus gefunden, write


« Plötzlich Dateien auf den Desktop !!! | Heuristic.LooksLike.Worm.Otwycal.K »


Ähnliche Themen: Rootkit Agent ODG gefunden


  1. Sefnit-HU, Agent-ASEB, Agent-ARQX von Avast gefunden...
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (23)
  2. Mit Malwarebytes Backdoor/Agent ; Trojaner/Agent gefunden. Was Tun?
    Log-Analyse und Auswertung - 05.03.2013 (18)
  3. Nach dem Scan mit mbam einen Rootkit.Agent gefunden
    Log-Analyse und Auswertung - 22.07.2012 (2)
  4. Rootkit.0Access / Rootkit.Agent
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (1)
  5. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  6. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  7. mehrere Trojaner gefunden: Spy.Agent.OGS, Spy.Banker.Gen2, Graftor.9201.6, Agent.237568.6
    Log-Analyse und Auswertung - 20.12.2011 (23)
  8. Trojanische Pferde (3) mit AVIRA gefunden: TR/Agent.ccg TR/Dropper.Gen TR/Agent.98816.14.B
    Plagegeister aller Art und deren Bekämpfung - 27.10.2010 (21)
  9. Rootkit.Win32.Agent.pp.
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  10. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  11. Rootkit.Agent..
    Plagegeister aller Art und deren Bekämpfung - 25.05.2010 (5)
  12. rootkit.agent
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (29)
  13. 7 Trojaner gefunden. u.a. TR/Agent.692736, TR/Agent.AO.808, TR/Disabler.NAJ.44..
    Plagegeister aller Art und deren Bekämpfung - 26.03.2010 (2)
  14. 5 Trojaner ( u.a. TR/Agent.25600.24, TR/Agent.38400.6...) + Rootkit
    Plagegeister aller Art und deren Bekämpfung - 01.03.2010 (1)
  15. sysrest.sys (Rootkit.Agent) von MBAM gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.08.2009 (22)
  16. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  17. Rootkit.Agent
    Log-Analyse und Auswertung - 22.12.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit Agent ODG gefunden - Hi, Nod32 meldete mir am Sonntag das ein Rootkit Agent ODG Virus gefunden wurde und nicht entfernt werden kann. Daraufhin hab ich mich bei Google versucht schlau zu machen. Viren - Rootkit Agent ODG gefunden...
Archiv
Du betrachtest: Rootkit Agent ODG gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131