|
Plagegeister aller Art und deren Bekämpfung: win32.rootkit.agent - HilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
01.09.2009, 23:08 | #1 |
| win32.rootkit.agent - Hilfe Hallo, vor einer Woche hat sich bei mir Ad-Aware mit dem Hinweis auf installierte Spyware gemeldet - "win32.rootkit.agent" sei entdeckt worden. Auch nach mehrmaligem scannen und beheben war es nicht möglich den Rootkit zu entfernen, auch Kaspersky führte zu keinem Erfolg. Ich habe mir daraufhin ComboFix heruntergeladen und im abgesichterten Modus ausgeführt. Start war erst nach Umbenennung möglich, scheinbar hat der Kit den Namen geparst und ein starten verhindert. [Umbenannt auf -a] Einige Dateien wurden von ComboFix entfernt und ein logfile erstellt, kann mir jemand bzgl. der Analyse helfen, auch wenn dieses Forum eigentlich "HiJackThis" und " Malwarebytes Anti-Malware " empfiehlt. Wenn ja, poste ich es hier oder macht es Sinn "HiJackThis" und " Malwarebytes Anti-Malware " nochmal über das System laufen zu lassen. Vielen Dank schon im vorraus. |
02.09.2009, 07:57 | #2 | |
/// Helfer-Team | win32.rootkit.agent - Hilfe Hallo und Herzlich Willkommen!
__________________- Poste bitte alle Scanbericht die Du hast (ComboFix usw) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen : Achtung!:: gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
02.09.2009, 19:40 | #3 |
| win32.rootkit.agent - Hilfe Hallo Coverflow,
__________________anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: ComboFix: Code:
ATTFilter ComboFix 09-09-01.04 - * 01.09.2009 23:23.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.190 [GMT 2:00] ausgeführt von:: c:\dokumente und einstellungen\*\Desktop\-a.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} * Neuer Wiederherstellungspunkt wurde erstellt Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\dokumente und einstellungen\All Users\Anwendungsdaten\98238766.ini C:\tj.vbs c:\xpsp2\run.log c:\xpsp2\system32\drivers\SKYNETvtdmylkp.sys c:\xpsp2\system32\drivers\UACevdovdkmdvymetj.sys c:\xpsp2\system32\SKYNETejewqnpt.dat c:\xpsp2\system32\SKYNETrghggkal.dat c:\xpsp2\system32\SKYNETvvtflhsr.dll c:\xpsp2\system32\SKYNETwubrvafy.dll c:\xpsp2\system32\UACbwyxsgebnxhvksv.dll c:\xpsp2\system32\UACcnsplvhxbrnhiqx.dat c:\xpsp2\system32\UACcxnsswwepxgfque.dll c:\xpsp2\system32\UACgvurupraxuutron.log c:\xpsp2\system32\UAChwxpaiycgwhvysk.db c:\xpsp2\system32\UACimasmqiniwydmxm.log c:\xpsp2\system32\uacinit.dll c:\xpsp2\system32\UACltfuoeirpkxwmiy.dll c:\xpsp2\system32\UACpkbowjkdtbjthte.dll c:\xpsp2\system32\UACpqqhowiphespyau.dll c:\xpsp2\system32\UACpubqghnodolwlbn.dll c:\xpsp2\system32\UACrsypqhrsleblstm.log c:\xpsp2\system32\uactmp.db . ((((((((((((((((((((((((((((((((((((((( Treiber/Dienste ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Service_SKYNETmvrngowo -------\Legacy_SKYNETmvrngowo -------\Service_UACd.sys -------\Legacy_UACd.sys ((((((((((((((((((((((( Dateien erstellt von 2009-08-01 bis 2009-09-01 )))))))))))))))))))))))))))))) . 2009-09-01 21:21 . 2009-09-01 21:22 81952 --sha-w- c:\xpsp2\system32\drivers\fidbox2.dat 2009-09-01 21:21 . 2009-09-01 21:21 32 --sha-w- c:\xpsp2\system32\drivers\fidbox.dat 2009-09-01 21:06 . 2009-09-01 21:06 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache 2009-08-16 19:10 . 2009-08-16 19:10 6290 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\14\UpdateFiles\SSE_Patch_14.13.bat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-09-01 21:22 . 2009-09-01 21:21 1360 --sha-w- c:\xpsp2\system32\drivers\fidbox2.idx 2009-09-01 21:21 . 2009-09-01 21:21 32 --sha-w- c:\xpsp2\system32\drivers\fidbox.idx 2009-09-01 19:44 . 2001-08-18 12:00 395074 ----a-w- c:\xpsp2\system32\perfh007.dat 2009-09-01 19:44 . 2001-08-18 12:00 64994 ----a-w- c:\xpsp2\system32\perfc007.dat 2009-06-16 21:14 . 2009-06-16 21:14 32784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\klbg.sys 2009-06-16 21:14 . 2009-06-16 21:14 227344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys 2009-06-16 21:14 . 2009-06-16 21:14 206088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\avp.exe 2009-06-16 21:14 . 2008-01-29 15:29 33808 ----a-w- c:\xpsp2\system32\drivers\klbg.sys 2009-06-16 21:14 . 2009-06-16 21:06 94643 ----a-w- c:\xpsp2\system32\drivers\klick.dat 2009-06-16 21:14 . 2009-06-16 21:06 105395 ----a-w- c:\xpsp2\system32\drivers\klin.dat 2009-06-16 21:14 . 2009-06-16 21:14 33808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys 2009-06-16 21:14 . 2009-06-16 21:14 206088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe 2009-06-16 21:14 . 2009-06-16 21:14 226832 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys 2009-06-15 20:41 . 2009-06-15 20:41 61272 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-06-14 15:23 . 2009-06-14 19:04 15688 ----a-w- c:\xpsp2\system32\lsdelete.exe 2009-06-14 15:23 . 2009-06-14 15:23 15688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe 2009-06-14 15:22 . 2009-06-14 15:23 64160 ----a-w- c:\xpsp2\system32\drivers\Lbd.sys 2009-06-14 15:22 . 2009-06-14 15:22 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys 2004-03-28 16:46 . 2006-06-12 19:31 1340416 ----a-w- c:\programme\mplayerc.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RMClock"="c:\programme\Toolz\rmclock_18_bin\RMClock.exe" [2005-09-23 444928] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-23 335872] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-05 185896] "TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-07-14 1404928] "Acrobat Assistant 7.0"="d:\anwendungen\Adobe\Distillr\Acrotray.exe" [2006-01-12 483328] "GrooveMonitor"="d:\office 2007\Office12\GrooveMonitor.exe" [2006-10-26 31016] "AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472] "QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696] "iTunesHelper"="d:\anwendungen\itunes\iTunesHelper.exe" [2009-04-02 342312] "Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [1987-12-31 520024] "AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-16 206088] "SoundMan"="SOUNDMAN.EXE" - c:\xpsp2\SOUNDMAN.EXE [2002-11-19 46592] "ATIModeChange"="Ati2mdxx.exe" - c:\xpsp2\system32\Ati2mdxx.exe [2001-09-04 28672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\xpsp2\system32\CTFMON.EXE" [2004-08-03 15360] c:\dokumente und einstellungen\*\Startmen\Programme\Autostart\ Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664] qlock.lnk - c:\programme\Qlock\qlock.exe [2006-3-20 4070912] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] @="Service" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\XPSP2\\system32\\sessmgr.exe"= "c:\\Programme\\Trillian\\trillian.exe"= "d:\\alte platte\\Anwendungen\\eMule0.47c\\emule.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpznet01.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppapd.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnicifs01.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpntwkexe.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppsetbod.exe"= "\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnac01.exe"= "c:\\XPSP2\\system32\\spoolsv.exe"= "d:\\Office 2007\\Office12\\GROOVE.EXE"= "d:\\Office 2007\\Office12\\ONENOTE.EXE"= "d:\\Office 2007\\Office12\\OUTLOOK.EXE"= "d:\\Anwendungen\\firefox\\firefox.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "d:\\Anwendungen\\itunes\\iTunes.exe"= "c:\\Programme\\QuickTime\\QuickTimePlayer.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= R0 447b;447b;c:\xpsp2\system32\drivers\447b.sys [12.06.2006 21:11 159616] R0 447s;447s;c:\xpsp2\system32\drivers\447s.sys [12.06.2006 21:11 5248] R0 klbg;Kaspersky Lab Boot Guard Driver;c:\xpsp2\system32\drivers\klbg.sys [29.01.2008 17:29 33808] R0 Lbd;Lbd;c:\xpsp2\system32\drivers\Lbd.sys [14.06.2009 17:23 64160] R1 uigxrdr;uigxrdr;c:\xpsp2\system32\drivers\uigxrdr.SYS [08.12.2007 18:49 148864] R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296] R2 acernbm;acernbm;c:\xpsp2\system32\drivers\acernbm.sys [12.06.2006 22:13 6538] R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\xpsp2\system32\drivers\klim5.sys [30.04.2008 17:06 24592] R3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\xpsp2\system32\drivers\TTCinergyT2.sys [21.04.2007 18:57 16640] S1 atitray;atitray;\??\c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys --> c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys [?] S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\xpsp2\system32\drivers\BRGSp50.sys [17.11.2006 12:42 20608] S3 GTF32BUS;GT F32 BUS;c:\xpsp2\system32\drivers\gtf32bus.sys [01.03.2006 12:22 32640] S3 GTPTSER;GT PT SER;c:\xpsp2\system32\drivers\gtptser.sys [01.03.2006 12:22 8064] S3 GTSCSER;GT SC SER;c:\xpsp2\system32\drivers\gtscser.sys [01.03.2006 12:22 19328] S3 RTCore32;RTCore32;\??\c:\programme\Toolz\rmclock_18_bin\RTCore32.sys --> c:\programme\Toolz\rmclock_18_bin\RTCore32.sys [?] S3 ZD1211BU(AirLive);AirLive WL-5480USB WLAN USB Driver(AirLive);c:\xpsp2\system32\drivers\ZD1211BU.sys [17.11.2006 12:42 402432] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}] "c:\xpsp2\system32\rundll32.exe" "c:\xpsp2\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP . Inhalt des "geplante Tasks" Ordners 2009-06-14 c:\xpsp2\Tasks\Ad-Aware Update (Weekly).job - c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 23:35] 2009-09-01 c:\xpsp2\Tasks\WGASetup.job - c:\xpsp2\system32\KB905474\wgasetup.exe [2009-04-08 20:18] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKCU-Run-net - c:\xpsp2\system32\net.net HKLM-Run-net - c:\xpsp2\system32\net.net HKLM-Run-AcerNotebookManager - (no file) . ------- Zusätzlicher Suchlauf ------- . uInternet Connection Wizard,ShellNext = hxxp://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse uInternet Settings,ProxyOverride = *.local IE: Convert link target to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert link target to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert selected links to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Convert selected links to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Convert selection to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert selection to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Convert to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Convert to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 IE: Nach Microsoft E&xel exportieren - d:\office 2007\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\ss25fhik.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/ FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll FF - plugin: d:\anwendungen\Adobe\Acrobat\browser\nppdf32.dll FF - plugin: d:\anwendungen\DivX\DivX Player\npDivxPlayerPlugin.dll FF - plugin: d:\anwendungen\DivX\DivX Web Player\npdivx32.dll FF - plugin: d:\anwendungen\firefox\plugins\np-mswmp.dll FF - plugin: d:\anwendungen\firefox\plugins\NPTURNMED.dll FF - plugin: d:\anwendungen\itunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-09-01 23:29 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- Gesperrte Registrierungsschluessel --------------------- [HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters] "SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79, 00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\ . Zeit der Fertigstellung: 2009-09-01 23:31 ComboFix-quarantined-files.txt 2009-09-01 21:31 Vor Suchlauf: 302.874.624 Bytes frei Nach Suchlauf: 289.431.552 Bytes frei 198 --- E O F --- 1987-12-31 23:00 |
02.09.2009, 19:42 | #4 |
| win32.rootkit.agent - Hilfe HHallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: HijackThis 2.0.2 Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:00:46, on 02.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\XPSP2\System32\smss.exe C:\XPSP2\system32\winlogon.exe C:\XPSP2\system32\services.exe C:\XPSP2\system32\lsass.exe C:\XPSP2\system32\Ati2evxx.exe C:\XPSP2\system32\svchost.exe C:\XPSP2\System32\svchost.exe C:\XPSP2\system32\spoolsv.exe C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\XPSP2\system32\svchost.exe C:\XPSP2\system32\wscntfy.exe C:\XPSP2\system32\WgaTray.exe C:\XPSP2\Explorer.EXE C:\XPSP2\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe D:\Anwendungen\Adobe\Distillr\Acrotray.exe D:\Office 2007\Office12\GrooveMonitor.exe D:\Anwendungen\itunes\iTunesHelper.exe C:\Programme\Toolz\rmclock_18_bin\RMClock.exe C:\XPSP2\system32\ctfmon.exe C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe C:\Programme\Qlock\qlock.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing) O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Office 2007\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Anwendungen\Adobe\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [GrooveMonitor] "D:\Office 2007\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Anwendungen\itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [RMClock] C:\Programme\Toolz\rmclock_18_bin\RMClock.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\XPSP2\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: qlock.lnk = C:\Programme\Qlock\qlock.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: AirLive WL-5480USB WLAN USB Utility.lnk = C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Office 2007\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/beta/SP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156930109944 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Office 2007\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\XPSP2\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- End of file - 8921 bytes |
02.09.2009, 19:44 | #5 |
| win32.rootkit.agent - Hilfe Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: Filelist: Code:
ATTFilter ----- Root ----------------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\ 02.09.2009 20:03 43 filelist.txt 02.09.2009 19:24 535.875.584 hiberfil.sys 02.09.2009 19:24 11.415 aaw7boot.log 01.09.2009 23:31 14.127 ComboFix.txt 15 Datei(en) 536.205.867 Bytes 0 Verzeichnis(se), 277.254.144 Bytes frei ----- Windows -------------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2 02.09.2009 19:24 159 wiadebug.log 02.09.2009 19:24 50 wiaservc.log 02.09.2009 19:24 0 0.log 02.09.2009 19:24 2.048 bootstat.dat 02.09.2009 01:31 32.598 SchedLgU.Txt 02.09.2009 01:31 1.906.843 WindowsUpdate.log 01.09.2009 23:29 227 system.ini 01.09.2009 23:21 413.665 setupapi.log 01.09.2009 23:19 5.706.794 ntbtlog.txt 01.09.2009 23:01 7.521 KB971633.log 01.09.2009 23:01 7.480 KB973507.log 01.09.2009 23:01 7.028 KB973815.log 01.09.2009 23:01 6.616 KB971032.log 01.09.2009 23:01 5.481 KB960859.log 01.09.2009 23:01 5.416 KB961371-v2.log 01.09.2009 23:01 5.282 KB971657.log 01.09.2009 23:01 5.179 KB971557.log 23.08.2009 03:09 229.376 PEV.exe 16.06.2009 22:43 11.929 spupdsvc.log 16.06.2009 22:40 31.022 ie8_main.log 16.06.2009 22:40 1.374 imsins.BAK 16.06.2009 22:40 47.676 ie8.log 11.06.2009 22:36 16.668 KB961501.log 11.06.2009 22:36 27.249 KB969897.log 11.06.2009 22:34 7.600 KB969898.log 11.06.2009 22:28 13.968 KB970238.log 11.06.2009 22:28 13.374 KB968537.log 11.06.2009 22:25 18.928 ModemLog_GlobeTrotter 3G+ Modem Interface.txt 03.06.2009 22:50 155 winamp.ini 06.05.2009 20:41 202.084 setupact.log 20.04.2009 22:36 25.985 KB956572.log 20.04.2009 22:34 33.596 KB963027.log 20.04.2009 22:20 37 vbaddin.ini 20.04.2009 12:56 31.232 NIRCMD.exe 18.04.2009 04:10 22.821 KB959426.log 18.04.2009 04:10 24.766 KB952004.log 17.04.2009 20:34 13.034 KB961373.log 17.04.2009 20:25 13.462 KB960803.log 11.03.2009 23:40 12.898 KB960225.log 11.03.2009 23:39 13.123 KB958690.log 25.02.2009 23:39 13.134 KB967715.log 10.02.2009 22:35 6.033 KB960715.log 14.01.2009 00:26 8.312 KB958687.log 205 Datei(en) 22.152.974 Bytes 0 Verzeichnis(se), 277.229.568 Bytes frei ----- System --- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2\system 04.08.2004 00:58 146.944 WINSPOOL.DRV 04.08.2004 00:37 69.632 MMSYSTEM.DLL 21.11.2002 09:07 765.952 crlds3d.dll 18.08.2001 14:00 2.000 KEYBOARD.DRV 18.08.2001 14:00 109.504 AVIFILE.DLL 18.08.2001 14:00 73.760 MCIAVI.DRV 18.08.2001 14:00 25.296 MCISEQ.DRV 18.08.2001 14:00 28.160 MCIWAVE.DRV 30 Datei(en) 1.988.667 Bytes 0 Verzeichnis(se), 277.229.568 Bytes frei ----- System 32 (Achtung: Zeitfenster beachten!) --- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2\system32 02.09.2009 19:52 2.206 wpa.dbl 02.09.2009 00:31 401.408 CF12180.exe 01.09.2009 21:44 383.588 perfh009.dat 01.09.2009 21:44 53.942 perfc009.dat 01.09.2009 21:44 395.074 perfh007.dat 01.09.2009 21:44 64.994 perfc007.dat 01.09.2009 21:44 906.552 PerfStringBackup.INI 14.06.2009 17:23 15.688 lsdelete.exe 12.06.2009 22:13 257.456 FNTCACHE.DAT 01.06.2009 18:51 23.635.392 MRT.exe 13.05.2009 07:02 915.456 wininet.dll 13.05.2009 07:02 5.936.128 mshtml.dll 07.05.2009 17:42 346.624 localspl.dll 30.04.2009 23:13 1.985.024 iertutil.dll 30.04.2009 23:13 11.064.832 ieframe.dll 30.04.2009 23:12 25.600 jsproxy.dll 30.04.2009 23:12 1.207.808 urlmon.dll 30.04.2009 23:12 1.469.440 inetcpl.cpl 30.04.2009 23:12 385.536 iedkcs32.dll 30.04.2009 13:21 173.056 ie4uinit.exe 29.04.2009 06:51 1.023.488 browseui.dll 29.04.2009 06:51 474.624 shlwapi.dll 29.04.2009 06:51 1.495.552 shdocvw.dll 29.04.2009 06:51 1.056.256 danim.dll 29.04.2009 06:51 55.808 extmgr.dll 29.04.2009 06:51 152.064 cdfview.dll 27.04.2009 11:48 374.272 xpsp3res.dll 19.04.2009 22:06 1.846.784 win32k.sys 15.04.2009 17:11 584.192 rpcrt4.dll 21.03.2009 16:20 1.059.840 kernel32.dll 08.03.2009 14:29 1.302.528 ieframe.dll.mui 08.03.2009 14:29 57.344 msrating.dll.mui 08.03.2009 14:28 2.560 mshta.exe.mui 08.03.2009 14:27 4.096 ie4uinit.exe.mui 08.03.2009 14:27 12.288 advpack.dll.mui 08.03.2009 14:27 81.920 iedkcs32.dll.mui 08.03.2009 04:35 385.024 html.iec 08.03.2009 04:34 208.384 WinFXDocObj.exe 08.03.2009 04:34 236.544 webcheck.dll 08.03.2009 04:34 43.008 licmgr10.dll 08.03.2009 04:34 105.984 url.dll 08.03.2009 04:34 193.536 msrating.dll 08.03.2009 04:34 109.568 occache.dll 08.03.2009 04:33 18.944 corpol.dll 08.03.2009 04:33 726.528 jscript.dll 08.03.2009 04:33 229.376 ieaksie.dll 08.03.2009 04:33 420.352 vbscript.dll 08.03.2009 04:33 125.952 ieakeng.dll 08.03.2009 04:32 72.704 admparse.dll 08.03.2009 04:32 163.840 ieakui.dll 08.03.2009 04:32 36.864 ieudinit.exe 08.03.2009 04:32 55.808 iernonce.dll 08.03.2009 04:32 71.680 iesetup.dll 08.03.2009 04:32 128.512 advpack.dll 08.03.2009 04:32 94.720 inseng.dll 08.03.2009 04:32 594.432 msfeeds.dll 08.03.2009 04:32 611.840 mstime.dll 08.03.2009 04:31 183.808 iepeers.dll 08.03.2009 04:31 13.312 msfeedssync.exe 08.03.2009 04:31 59.904 icardie.dll 08.03.2009 04:31 55.296 msfeedsbs.dll 08.03.2009 04:31 348.160 dxtmsft.dll 08.03.2009 04:31 216.064 dxtrans.dll 08.03.2009 04:31 34.816 imgutil.dll 08.03.2009 04:31 46.592 pngfilt.dll 08.03.2009 04:31 66.560 mshtmled.dll 08.03.2009 04:31 48.128 mshtmler.dll 08.03.2009 04:31 45.568 mshta.exe 08.03.2009 04:31 1.638.912 mshtml.tlb 08.03.2009 04:30 66.560 tdc.ocx 08.03.2009 04:22 164.352 ieui.dll 08.03.2009 04:22 156.160 msls31.dll 08.03.2009 04:15 57.667 ieuinit.inf 08.03.2009 04:11 445.952 ieapfltr.dll 06.03.2009 16:44 286.208 pdh.dll 12.02.2009 22:20 6.873 IE8Eula.rtf 09.02.2009 13:47 2.182.784 ntoskrnl.exe 09.02.2009 13:47 2.060.032 ntkrnlpa.exe 09.02.2009 12:18 731.136 lsasrv.dll 09.02.2009 12:18 677.888 advapi32.dll 09.02.2009 12:18 399.360 rpcss.dll 09.02.2009 12:18 740.352 ntdll.dll 09.02.2009 12:04 111.104 services.exe 06.02.2009 21:07 3.698.584 ieapfltr.dat 06.02.2009 18:54 35.328 sc.exe 03.02.2009 22:08 55.808 secur32.dll 2068 Datei(en) 420.215.192 Bytes 0 Verzeichnis(se), 277.049.344 Bytes frei ----- Prefetch ------------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2\Prefetch 02.09.2009 20:03 11.378 FIND.EXE-2E228A47.pf 02.09.2009 20:03 24.188 CMD.EXE-1657040F.pf 02.09.2009 20:03 16.470 NOTEPAD.EXE-2D6A6209.pf 02.09.2009 20:02 31.212 REALPLAY.EXE-39F79CBD.pf 02.09.2009 20:01 34.916 WINRAR.EXE-3588DFE8.pf 02.09.2009 20:00 54.790 HIJACKTHIS.EXE-39024128.pf 02.09.2009 20:00 14.830 HJTINSTALL.EXE-2A51536A.pf 02.09.2009 19:59 36.422 WMIPRVSE.EXE-06C7A357.pf 02.09.2009 19:54 18.858 VERCLSID.EXE-3A036B52.pf 02.09.2009 19:54 16.964 TASKMGR.EXE-07D74BEB.pf 02.09.2009 19:53 29.344 RUNDLL32.EXE-590F9A09.pf 02.09.2009 19:53 12.444 RUNDLL32.EXE-5D7F05D7.pf 02.09.2009 19:53 33.664 RUNDLL32.EXE-4B1466CC.pf 02.09.2009 19:53 27.976 CONTROL.EXE-2670A960.pf 02.09.2009 19:53 17.700 AAWSERVICE.EXE-1E1DE6D1.pf 02.09.2009 19:52 22.906 IPODSERVICE.EXE-233792DA.pf 02.09.2009 19:52 32.246 QLOCK.EXE-16D2A76E.pf 02.09.2009 19:52 24.558 WLANUTIL.EXE-018BF92E.pf 02.09.2009 19:52 21.516 CTFMON.EXE-1008679D.pf 02.09.2009 19:52 14.714 RMCLOCK.EXE-38718294.pf 02.09.2009 19:52 18.282 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf 02.09.2009 19:52 14.726 ITUNESHELPER.EXE-1A970BEF.pf 02.09.2009 19:52 17.030 APPLESYNCNOTIFIER.EXE-0DCBD908.pf 02.09.2009 19:52 20.794 GROOVEMONITOR.EXE-08D3C5E7.pf 02.09.2009 19:52 13.950 ACROTRAY.EXE-25EE85AE.pf 02.09.2009 19:52 22.272 TTTVRC.EXE-2943AAD5.pf 02.09.2009 19:52 33.042 REALSCHED.EXE-0A2A7558.pf 02.09.2009 19:52 20.586 ATIPTAXX.EXE-12B5048A.pf 02.09.2009 19:52 11.210 SOUNDMAN.EXE-2A346666.pf 02.09.2009 19:52 22.540 IMAPI.EXE-12235F76.pf 02.09.2009 19:52 19.898 SETUP.EXE-03060512.pf 02.09.2009 19:52 4.688 ATI2MDXX.EXE-19517CAA.pf 02.09.2009 19:52 20.244 WGASETUP.EXE-138750B5.pf 02.09.2009 19:52 40.412 WGATRAY.EXE-165F5DBE.pf 02.09.2009 19:52 98.816 EXPLORER.EXE-0890D389.pf 02.09.2009 19:52 9.552 WSCNTFY.EXE-0CD7C255.pf 02.09.2009 19:52 19.004 USERINIT.EXE-18523E29.pf 02.09.2009 19:51 14.310 MPNOTIFY.EXE-3A398095.pf 02.09.2009 19:42 60.324 DFRGNTFS.EXE-0E36F6F5.pf 02.09.2009 19:42 26.032 DEFRAG.EXE-292FE420.pf 02.09.2009 19:42 388.434 Layout.ini 02.09.2009 19:36 29.104 LOGON.SCR-1B4B19BC.pf 02.09.2009 01:31 26.056 LOGONUI.EXE-1A40C054.pf 02.09.2009 01:16 33.894 THREATWORK.EXE-2CC668FF.pf 02.09.2009 01:16 33.928 AD-AWAREADMIN.EXE-1618EEEB.pf 02.09.2009 00:34 90.276 FIREFOX.EXE-31CB2868.pf 02.09.2009 00:32 23.208 SORT.EXE-02F086A2.pf 02.09.2009 00:32 45.548 CSCRIPT.EXE-05BE37B0.pf 02.09.2009 00:31 29.662 RUNONCE.EXE-3B938FB0.pf 02.09.2009 00:03 68.166 AD-AWARE.EXE-2B8B58D1.pf 01.09.2009 23:00 27.882 WUAUCLT.EXE-29FCF3D5.pf 01.09.2009 21:47 31.330 REGSVR32.EXE-0EE160A5.pf 01.09.2009 21:47 21.122 AAWTRAY.EXE-31E33C30.pf 01.09.2009 21:46 95.818 CIDAEMON.EXE-2C4B757A.pf 28.07.2009 17:56 12.912 DUMPREP.EXE-04DF18A5.pf 15.06.2009 23:57 61.672 ACROBATINFO.EXE-2199B043.pf 15.06.2009 23:57 112.242 ACROBAT.EXE-18DB1B67.pf 14.06.2009 12:13 72.146 SKYPEPM.EXE-03F1BFBD.pf 12.06.2006 21:29 415.396 NTOSBOOT-B00DFAAD.pf 59 Datei(en) 2.623.604 Bytes 0 Verzeichnis(se), 277.127.168 Bytes frei ----- Tasks ---------------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2\tasks 02.09.2009 19:53 256 WGASetup.job 02.09.2009 19:24 6 SA.DAT 14.06.2009 17:26 458 Ad-Aware Update (Weekly).job 18.08.2001 14:00 65 desktop.ini 4 Datei(en) 785 Bytes 0 Verzeichnis(se), 277.127.168 Bytes frei ----- Windows/Temp ----------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\XPSP2\Temp ----- Temp ----------------------------- Datenträger in Laufwerk C: ist System Volumeseriennummer: 80DA-0B2E Verzeichnis von C:\DOKUME~1\*\LOKALE~1\Temp 02.09.2009 01:26 16.384 ~DFE04D.tmp 01.09.2009 23:49 14.055 log.txt 2 Datei(en) 30.439 Bytes 0 Verzeichnis(se), 277.123.072 Bytes frei |
02.09.2009, 19:45 | #6 |
| win32.rootkit.agent - Hilfe Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: CCleaner: Code:
ATTFilter AAVUpdateManager Acer Notebook Manager Ad-Aware Ad-Aware SE Personal Adobe Acrobat 7.0.9 Professional Adobe Flash Player 10 Plugin AFPL Ghostscript 8.53 AFPL Ghostscript Fonts Agere Systems AC'97 Modem AirLive WL-5480USB WLAN USB Adapter Apple Mobile Device Support Apple Software Update Arena 7.01 ATI Display Driver Bibliographix 6.1.04 Bonjour Canon CanoScan Toolbox 4.5 CCleaner (remove only) CIB pdf brewer 1.0.44 Cinergy Digital 2 DAEMON Tools DivX Codec DivX Converter DivX Player DivX Web Player GlobeTrotter Mobility Manager GMX Upload-Manager GSview 4.8 HijackThis 2.0.2 ISI ResearchSoft - Export Helper iTunes iTunes Art Importer J2SE Runtime Environment 5.0 Update 6 K-Lite Codec Pack 2.81 Standard Kaspersky Anti-Virus 2009 MetaFrame Presentation Server Client Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft Office Enterprise 2007 Microsoft Outlook-Sicherung für Persönliche Ordner Microsoft Visual C++ 2005 Redistributable MobileMe Control Panel Monkey's Audio MozBackup 1.4.2 Mozilla Firefox (3.0.11) MSXML 4.0 SP2 (KB927978) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MultiRes (remove only) Octoshape add-in for Adobe Flash Player Picasa 2 Qlock Lite QuickTime RadLight MPC DirectShow Filter (remove only) RealPlayer Skype™ 3.8 TBS WMP Plug-in Trillian VideoLAN VLC media player 0.8.5 VPN Client Winamp (remove only) Windows Internet Explorer 8 Windows Media Player Firefox Plugin WinRAR Code:
ATTFilter GMER 1.0.15.15077 [umbenannt.com] - http://www.gmer.net Rootkit scan 2009-09-02 20:17:59 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB2C561DA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB2C567AE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB2C581EA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB2C57B9C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB2C55950] SSDT 447b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF8649C70] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB2C59B7C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB2C565AE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB2C55D92] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB2C55F92] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB2C57EAC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB2C5A084] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB2C560A8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB2C56110] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB2C57D5E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB2C59620] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB2C579F8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB2C55AB2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB2C563B2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB2C59BA6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB2C562FE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB2C56178] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB2C55E7C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB2C55C5A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB2C59888] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB2C555D2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB2C58A74] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB2C55734] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB2C59F56] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB2C553D0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB2C5808C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB2C566AC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB2C5971A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB2C59BD0] SSDT 447b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF86554F0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB2C55B08] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB2C59CB4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB2C59DE0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB2C5954C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xB2C5647E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB2C564F0] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!_abnormal_termination + C8 804E2724 4 Bytes JMP F2B2C581 .text ntoskrnl.exe!_abnormal_termination + 440 804E2A9C 12 Bytes [B4, 9C, C5, B2, E0, 9D, C5, ...] .text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP B2C6D9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80503C29 5 Bytes JMP B2C6D626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ? C:\Programme\Toolz\rmclock_18_bin\RTCore32.sys Das System kann die angegebene Datei nicht finden. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\irda.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation) ---- Devices - GMER 1.0.15 ---- Device Ntfs.sys (NT File System Driver/Microsoft Corporation) Device 82F2D260 AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\Cdrom \Device\CdRom0 82A268A0 Device \FileSystem\Rdbss \Device\FsWrap 82A57CA0 Device \Driver\Cdrom \Device\CdRom1 82A268A0 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82DC6008 Device \Driver\atapi \Device\Ide\IdePort0 82DC6008 Device \Driver\atapi \Device\Ide\IdePort1 82DC6008 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 82DC6008 Device \FileSystem\Srv \Device\LanmanServer 8265E5E8 AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \FileSystem\uigxrdr \Device\GMXMiniRdr 82DC3DD0 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82A65C30 Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation) Device 82A65C30 Device \FileSystem\Npfs \Device\NamedPipe 82B44E30 Device \FileSystem\Msfs \Device\Mailslot 82B4CDC8 Device \Driver\d347prt \Device\Scsi\d347prt1Port3Path0Target0Lun0 82D08B58 Device \Driver\d347prt \Device\Scsi\d347prt1 82D08B58 Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82A6BAE8 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82A6BAE8 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82A6BAE8 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82A6BAE8 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82A6BAE8 Device Cdfs.SYS (CD-ROM File System Driver/Microsoft Corporation) Device 82B94B38 ---- Modules - GMER 1.0.15 ---- Module _________ F858D000-F85A5000 (98304 bytes) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ujdew 0x20 0x02 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej40 0xBC 0x22 0xA5 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej41 0x2A 0x22 0xA5 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej42 0x2A 0x22 0xA5 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej43 0x2A 0x22 0xA5 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej44 0x2A 0x22 0xA5 0x20 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120% Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120% ---- EOF - GMER 1.0.15 ---- |
02.09.2009, 21:25 | #7 | |
/// Helfer-Team | win32.rootkit.agent - Hilfe hi Zitat:
1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Entferne Gmer - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. - Falls noch nicht getan hast (ansonsten updaten -> erneut laufen lassen-> Log posten): - Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
|
Themen zu win32.rootkit.agent - Hilfe |
ad-aware, analyse, anti-malware, combofix, dateien, entdeck, entfernen, entfernt, erstellt, forum, hijack, hijackthis, kaspersky, logfile, malwarebytes, malwarebytes anti-malware, modus, namen, nicht möglich, scan, scannen, spyware, start, starten, system, win |