| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: win32.rootkit.agent - HilfeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.09.2009, 23:08
| #1 |
| |  win32.rootkit.agent - Hilfe Hallo, vor einer Woche hat sich bei mir Ad-Aware mit dem Hinweis auf installierte Spyware gemeldet - "win32.rootkit.agent" sei entdeckt worden. Auch nach mehrmaligem scannen und beheben war es nicht möglich den Rootkit zu entfernen, auch Kaspersky führte zu keinem Erfolg. Ich habe mir daraufhin ComboFix heruntergeladen und im abgesichterten Modus ausgeführt. Start war erst nach Umbenennung möglich, scheinbar hat der Kit den Namen geparst und ein starten verhindert. [Umbenannt auf -a] Einige Dateien wurden von ComboFix entfernt und ein logfile erstellt, kann mir jemand bzgl. der Analyse helfen, auch wenn dieses Forum eigentlich "HiJackThis" und " Malwarebytes Anti-Malware " empfiehlt. Wenn ja, poste ich es hier oder macht es Sinn "HiJackThis" und " Malwarebytes Anti-Malware " nochmal über das System laufen zu lassen. Vielen Dank schon im vorraus. |
|
02.09.2009, 07:57
| #2 | |
| /// Helfer-Team    | win32.rootkit.agent - Hilfe Hallo und Herzlich Willkommen!
__________________ - Poste bitte alle Scanbericht die Du hast (ComboFix usw) - Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe: 1. lade Dir HijackThis 2.0.2 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 2. ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen:: → Klicke unter Start auf Arbeitsplatz. → Klicke im Menü Extras auf Ordneroptionen. → Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen → Geschützte und Systemdateien ausblenden → Haken entfernen → Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen. → Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein. 3. Für XP und Win2000 (ansonsten auslassen) → lade Dir das filelist.zip auf deinen Desktop herunter → entpacke die Zip-Datei auf deinen Desktop → starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen → kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread ** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen! 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool CCleaner herunter installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen : Achtung!:: gleich beim Download/speichern, musst Du die Installdatei also gmer.exe umbenennen! Wähle eine beliebige Dateiname, die Endung soll *.com sein!
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw gruß Coverflow |
|
02.09.2009, 19:40
| #3 |
| | win32.rootkit.agent - Hilfe Hallo Coverflow,
__________________anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: ComboFix: Code:
ATTFilter ComboFix 09-09-01.04 - * 01.09.2009 23:23.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.511.190 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*\Desktop\-a.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Neuer Wiederherstellungspunkt wurde erstellt
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\98238766.ini
C:\tj.vbs
c:\xpsp2\run.log
c:\xpsp2\system32\drivers\SKYNETvtdmylkp.sys
c:\xpsp2\system32\drivers\UACevdovdkmdvymetj.sys
c:\xpsp2\system32\SKYNETejewqnpt.dat
c:\xpsp2\system32\SKYNETrghggkal.dat
c:\xpsp2\system32\SKYNETvvtflhsr.dll
c:\xpsp2\system32\SKYNETwubrvafy.dll
c:\xpsp2\system32\UACbwyxsgebnxhvksv.dll
c:\xpsp2\system32\UACcnsplvhxbrnhiqx.dat
c:\xpsp2\system32\UACcxnsswwepxgfque.dll
c:\xpsp2\system32\UACgvurupraxuutron.log
c:\xpsp2\system32\UAChwxpaiycgwhvysk.db
c:\xpsp2\system32\UACimasmqiniwydmxm.log
c:\xpsp2\system32\uacinit.dll
c:\xpsp2\system32\UACltfuoeirpkxwmiy.dll
c:\xpsp2\system32\UACpkbowjkdtbjthte.dll
c:\xpsp2\system32\UACpqqhowiphespyau.dll
c:\xpsp2\system32\UACpubqghnodolwlbn.dll
c:\xpsp2\system32\UACrsypqhrsleblstm.log
c:\xpsp2\system32\uactmp.db
.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_SKYNETmvrngowo
-------\Legacy_SKYNETmvrngowo
-------\Service_UACd.sys
-------\Legacy_UACd.sys
((((((((((((((((((((((( Dateien erstellt von 2009-08-01 bis 2009-09-01 ))))))))))))))))))))))))))))))
.
2009-09-01 21:21 . 2009-09-01 21:22 81952 --sha-w- c:\xpsp2\system32\drivers\fidbox2.dat
2009-09-01 21:21 . 2009-09-01 21:21 32 --sha-w- c:\xpsp2\system32\drivers\fidbox.dat
2009-09-01 21:06 . 2009-09-01 21:06 -------- d-sh--w- c:\dokumente und einstellungen\Administrator\IETldCache
2009-08-16 19:10 . 2009-08-16 19:10 6290 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\AAV\SSE\14\UpdateFiles\SSE_Patch_14.13.bat
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-01 21:22 . 2009-09-01 21:21 1360 --sha-w- c:\xpsp2\system32\drivers\fidbox2.idx
2009-09-01 21:21 . 2009-09-01 21:21 32 --sha-w- c:\xpsp2\system32\drivers\fidbox.idx
2009-09-01 19:44 . 2001-08-18 12:00 395074 ----a-w- c:\xpsp2\system32\perfh007.dat
2009-09-01 19:44 . 2001-08-18 12:00 64994 ----a-w- c:\xpsp2\system32\perfc007.dat
2009-06-16 21:14 . 2009-06-16 21:14 32784 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:14 227344 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-16 21:14 . 2009-06-16 21:14 206088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\update\rollback\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-16 21:14 . 2008-01-29 15:29 33808 ----a-w- c:\xpsp2\system32\drivers\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:06 94643 ----a-w- c:\xpsp2\system32\drivers\klick.dat
2009-06-16 21:14 . 2009-06-16 21:06 105395 ----a-w- c:\xpsp2\system32\drivers\klin.dat
2009-06-16 21:14 . 2009-06-16 21:14 33808 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\klbg.sys
2009-06-16 21:14 . 2009-06-16 21:14 206088 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe
2009-06-16 21:14 . 2009-06-16 21:14 226832 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\XP\klif.sys
2009-06-15 20:41 . 2009-06-15 20:41 61272 ----a-w- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-14 15:23 . 2009-06-14 19:04 15688 ----a-w- c:\xpsp2\system32\lsdelete.exe
2009-06-14 15:23 . 2009-06-14 15:23 15688 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-06-14 15:22 . 2009-06-14 15:23 64160 ----a-w- c:\xpsp2\system32\drivers\Lbd.sys
2009-06-14 15:22 . 2009-06-14 15:22 64160 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2004-03-28 16:46 . 2006-06-12 19:31 1340416 ----a-w- c:\programme\mplayerc.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RMClock"="c:\programme\Toolz\rmclock_18_bin\RMClock.exe" [2005-09-23 444928]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-23 335872]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-05 185896]
"TerraTec Remote Control"="c:\programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" [2005-07-14 1404928]
"Acrobat Assistant 7.0"="d:\anwendungen\Adobe\Distillr\Acrotray.exe" [2006-01-12 483328]
"GrooveMonitor"="d:\office 2007\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"AppleSyncNotifier"="c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-03-26 177472]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="d:\anwendungen\itunes\iTunesHelper.exe" [2009-04-02 342312]
"Ad-Watch"="c:\programme\Lavasoft\Ad-Aware\AAWTray.exe" [1987-12-31 520024]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-06-16 206088]
"SoundMan"="SOUNDMAN.EXE" - c:\xpsp2\SOUNDMAN.EXE [2002-11-19 46592]
"ATIModeChange"="Ati2mdxx.exe" - c:\xpsp2\system32\Ati2mdxx.exe [2001-09-04 28672]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\xpsp2\system32\CTFMON.EXE" [2004-08-03 15360]
c:\dokumente und einstellungen\*\Startmen\Programme\Autostart\
Adobe Gamma.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]
qlock.lnk - c:\programme\Qlock\qlock.exe [2006-3-20 4070912]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\XPSP2\\system32\\sessmgr.exe"=
"c:\\Programme\\Trillian\\trillian.exe"=
"d:\\alte platte\\Anwendungen\\eMule0.47c\\emule.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpznet01.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppapd.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnicifs01.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hpntwkexe.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppsetbod.exe"=
"\\\\jcd-server\\FTP\\Technik\\public\\Treiber\\Drucker (HP Color Laserjet)\\Windows\\setup\\hppnac01.exe"=
"c:\\XPSP2\\system32\\spoolsv.exe"=
"d:\\Office 2007\\Office12\\GROOVE.EXE"=
"d:\\Office 2007\\Office12\\ONENOTE.EXE"=
"d:\\Office 2007\\Office12\\OUTLOOK.EXE"=
"d:\\Anwendungen\\firefox\\firefox.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\Anwendungen\\itunes\\iTunes.exe"=
"c:\\Programme\\QuickTime\\QuickTimePlayer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
R0 447b;447b;c:\xpsp2\system32\drivers\447b.sys [12.06.2006 21:11 159616]
R0 447s;447s;c:\xpsp2\system32\drivers\447s.sys [12.06.2006 21:11 5248]
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\xpsp2\system32\drivers\klbg.sys [29.01.2008 17:29 33808]
R0 Lbd;Lbd;c:\xpsp2\system32\drivers\Lbd.sys [14.06.2009 17:23 64160]
R1 uigxrdr;uigxrdr;c:\xpsp2\system32\drivers\uigxrdr.SYS [08.12.2007 18:49 148864]
R2 AAV UpdateService;AAV UpdateService;c:\programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe [24.10.2008 15:35 128296]
R2 acernbm;acernbm;c:\xpsp2\system32\drivers\acernbm.sys [12.06.2006 22:13 6538]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [09.03.2009 21:06 1029456]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\xpsp2\system32\drivers\klim5.sys [30.04.2008 17:06 24592]
R3 TTCinergyT2;TerraTec Cinergy T² Driver (TTCinergyT2.sys);c:\xpsp2\system32\drivers\TTCinergyT2.sys [21.04.2007 18:57 16640]
S1 atitray;atitray;\??\c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys --> c:\programme\Radeon Omega Drivers\v3.8.273\ATI Tray Tools\atitray.sys [?]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;c:\xpsp2\system32\drivers\BRGSp50.sys [17.11.2006 12:42 20608]
S3 GTF32BUS;GT F32 BUS;c:\xpsp2\system32\drivers\gtf32bus.sys [01.03.2006 12:22 32640]
S3 GTPTSER;GT PT SER;c:\xpsp2\system32\drivers\gtptser.sys [01.03.2006 12:22 8064]
S3 GTSCSER;GT SC SER;c:\xpsp2\system32\drivers\gtscser.sys [01.03.2006 12:22 19328]
S3 RTCore32;RTCore32;\??\c:\programme\Toolz\rmclock_18_bin\RTCore32.sys --> c:\programme\Toolz\rmclock_18_bin\RTCore32.sys [?]
S3 ZD1211BU(AirLive);AirLive WL-5480USB WLAN USB Driver(AirLive);c:\xpsp2\system32\drivers\ZD1211BU.sys [17.11.2006 12:42 402432]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\xpsp2\system32\rundll32.exe" "c:\xpsp2\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Inhalt des "geplante Tasks" Ordners
2009-06-14 c:\xpsp2\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 23:35]
2009-09-01 c:\xpsp2\Tasks\WGASetup.job
- c:\xpsp2\system32\KB905474\wgasetup.exe [2009-04-08 20:18]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
HKCU-Run-net - c:\xpsp2\system32\net.net
HKLM-Run-net - c:\xpsp2\system32\net.net
HKLM-Run-AcerNotebookManager - (no file)
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse
uInternet Settings,ProxyOverride = *.local
IE: Convert link target to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert to existing PDF - d:\anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Nach Microsoft E&xel exportieren - d:\office 2007\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\ss25fhik.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.spiegel.de/
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF - plugin: d:\anwendungen\Adobe\Acrobat\browser\nppdf32.dll
FF - plugin: d:\anwendungen\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: d:\anwendungen\DivX\DivX Web Player\npdivx32.dll
FF - plugin: d:\anwendungen\firefox\plugins\np-mswmp.dll
FF - plugin: d:\anwendungen\firefox\plugins\NPTURNMED.dll
FF - plugin: d:\anwendungen\itunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-01 23:29
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
00,5c,00,4d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,79,00,73,00,\
.
Zeit der Fertigstellung: 2009-09-01 23:31
ComboFix-quarantined-files.txt 2009-09-01 21:31
Vor Suchlauf: 302.874.624 Bytes frei
Nach Suchlauf: 289.431.552 Bytes frei
198 --- E O F --- 1987-12-31 23:00
|
|
02.09.2009, 19:42
| #4 |
| | win32.rootkit.agent - Hilfe HHallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: HijackThis 2.0.2 Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:00:46, on 02.09.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\XPSP2\System32\smss.exe C:\XPSP2\system32\winlogon.exe C:\XPSP2\system32\services.exe C:\XPSP2\system32\lsass.exe C:\XPSP2\system32\Ati2evxx.exe C:\XPSP2\system32\svchost.exe C:\XPSP2\System32\svchost.exe C:\XPSP2\system32\spoolsv.exe C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\XPSP2\system32\svchost.exe C:\XPSP2\system32\wscntfy.exe C:\XPSP2\system32\WgaTray.exe C:\XPSP2\Explorer.EXE C:\XPSP2\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe D:\Anwendungen\Adobe\Distillr\Acrotray.exe D:\Office 2007\Office12\GrooveMonitor.exe D:\Anwendungen\itunes\iTunesHelper.exe C:\Programme\Toolz\rmclock_18_bin\RMClock.exe C:\XPSP2\system32\ctfmon.exe C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe C:\Programme\Qlock\qlock.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ui.skype.com/ui/0/2.5.0.91/de/myaccount/mschlosse R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Anwendungen\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing) O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Office 2007\Office12\GrooveShellExtensions.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Anwendungen\Adobe\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [GrooveMonitor] "D:\Office 2007\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Anwendungen\itunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Ad-Watch] C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKCU\..\Run: [RMClock] C:\Programme\Toolz\rmclock_18_bin\RMClock.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\XPSP2\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\XPSP2\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: qlock.lnk = C:\Programme\Qlock\qlock.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: AirLive WL-5480USB WLAN USB Utility.lnk = C:\Programme\AirLive WL-5480USB WLAN USB\AirLive WL-5480USB WLAN USB\WlanUtil.exe O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Convert to existing PDF - res://D:\Anwendungen\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Office 2007\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Office 2007\Office12\ONBttnIE.dll O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} (StreamPlug Class) - http://www.streamplug.com/StreamPlug/beta/SP.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156930109944 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.tu-darmstadt.de O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Office 2007\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Akademische Arbeitsgemeinschaft\AAVUpdateManager\aavus.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\XPSP2\system32\Ati2evxx.exe O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe -- End of file - 8921 bytes |
|
02.09.2009, 19:44
| #5 |
| | win32.rootkit.agent - Hilfe Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: Filelist: Code:
ATTFilter ----- Root -----------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\
02.09.2009 20:03 43 filelist.txt
02.09.2009 19:24 535.875.584 hiberfil.sys
02.09.2009 19:24 11.415 aaw7boot.log
01.09.2009 23:31 14.127 ComboFix.txt
15 Datei(en) 536.205.867 Bytes
0 Verzeichnis(se), 277.254.144 Bytes frei
----- Windows --------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2
02.09.2009 19:24 159 wiadebug.log
02.09.2009 19:24 50 wiaservc.log
02.09.2009 19:24 0 0.log
02.09.2009 19:24 2.048 bootstat.dat
02.09.2009 01:31 32.598 SchedLgU.Txt
02.09.2009 01:31 1.906.843 WindowsUpdate.log
01.09.2009 23:29 227 system.ini
01.09.2009 23:21 413.665 setupapi.log
01.09.2009 23:19 5.706.794 ntbtlog.txt
01.09.2009 23:01 7.521 KB971633.log
01.09.2009 23:01 7.480 KB973507.log
01.09.2009 23:01 7.028 KB973815.log
01.09.2009 23:01 6.616 KB971032.log
01.09.2009 23:01 5.481 KB960859.log
01.09.2009 23:01 5.416 KB961371-v2.log
01.09.2009 23:01 5.282 KB971657.log
01.09.2009 23:01 5.179 KB971557.log
23.08.2009 03:09 229.376 PEV.exe
16.06.2009 22:43 11.929 spupdsvc.log
16.06.2009 22:40 31.022 ie8_main.log
16.06.2009 22:40 1.374 imsins.BAK
16.06.2009 22:40 47.676 ie8.log
11.06.2009 22:36 16.668 KB961501.log
11.06.2009 22:36 27.249 KB969897.log
11.06.2009 22:34 7.600 KB969898.log
11.06.2009 22:28 13.968 KB970238.log
11.06.2009 22:28 13.374 KB968537.log
11.06.2009 22:25 18.928 ModemLog_GlobeTrotter 3G+ Modem Interface.txt
03.06.2009 22:50 155 winamp.ini
06.05.2009 20:41 202.084 setupact.log
20.04.2009 22:36 25.985 KB956572.log
20.04.2009 22:34 33.596 KB963027.log
20.04.2009 22:20 37 vbaddin.ini
20.04.2009 12:56 31.232 NIRCMD.exe
18.04.2009 04:10 22.821 KB959426.log
18.04.2009 04:10 24.766 KB952004.log
17.04.2009 20:34 13.034 KB961373.log
17.04.2009 20:25 13.462 KB960803.log
11.03.2009 23:40 12.898 KB960225.log
11.03.2009 23:39 13.123 KB958690.log
25.02.2009 23:39 13.134 KB967715.log
10.02.2009 22:35 6.033 KB960715.log
14.01.2009 00:26 8.312 KB958687.log
205 Datei(en) 22.152.974 Bytes
0 Verzeichnis(se), 277.229.568 Bytes frei
----- System ---
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2\system
04.08.2004 00:58 146.944 WINSPOOL.DRV
04.08.2004 00:37 69.632 MMSYSTEM.DLL
21.11.2002 09:07 765.952 crlds3d.dll
18.08.2001 14:00 2.000 KEYBOARD.DRV
18.08.2001 14:00 109.504 AVIFILE.DLL
18.08.2001 14:00 73.760 MCIAVI.DRV
18.08.2001 14:00 25.296 MCISEQ.DRV
18.08.2001 14:00 28.160 MCIWAVE.DRV
30 Datei(en) 1.988.667 Bytes
0 Verzeichnis(se), 277.229.568 Bytes frei
----- System 32 (Achtung: Zeitfenster beachten!) ---
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2\system32
02.09.2009 19:52 2.206 wpa.dbl
02.09.2009 00:31 401.408 CF12180.exe
01.09.2009 21:44 383.588 perfh009.dat
01.09.2009 21:44 53.942 perfc009.dat
01.09.2009 21:44 395.074 perfh007.dat
01.09.2009 21:44 64.994 perfc007.dat
01.09.2009 21:44 906.552 PerfStringBackup.INI
14.06.2009 17:23 15.688 lsdelete.exe
12.06.2009 22:13 257.456 FNTCACHE.DAT
01.06.2009 18:51 23.635.392 MRT.exe
13.05.2009 07:02 915.456 wininet.dll
13.05.2009 07:02 5.936.128 mshtml.dll
07.05.2009 17:42 346.624 localspl.dll
30.04.2009 23:13 1.985.024 iertutil.dll
30.04.2009 23:13 11.064.832 ieframe.dll
30.04.2009 23:12 25.600 jsproxy.dll
30.04.2009 23:12 1.207.808 urlmon.dll
30.04.2009 23:12 1.469.440 inetcpl.cpl
30.04.2009 23:12 385.536 iedkcs32.dll
30.04.2009 13:21 173.056 ie4uinit.exe
29.04.2009 06:51 1.023.488 browseui.dll
29.04.2009 06:51 474.624 shlwapi.dll
29.04.2009 06:51 1.495.552 shdocvw.dll
29.04.2009 06:51 1.056.256 danim.dll
29.04.2009 06:51 55.808 extmgr.dll
29.04.2009 06:51 152.064 cdfview.dll
27.04.2009 11:48 374.272 xpsp3res.dll
19.04.2009 22:06 1.846.784 win32k.sys
15.04.2009 17:11 584.192 rpcrt4.dll
21.03.2009 16:20 1.059.840 kernel32.dll
08.03.2009 14:29 1.302.528 ieframe.dll.mui
08.03.2009 14:29 57.344 msrating.dll.mui
08.03.2009 14:28 2.560 mshta.exe.mui
08.03.2009 14:27 4.096 ie4uinit.exe.mui
08.03.2009 14:27 12.288 advpack.dll.mui
08.03.2009 14:27 81.920 iedkcs32.dll.mui
08.03.2009 04:35 385.024 html.iec
08.03.2009 04:34 208.384 WinFXDocObj.exe
08.03.2009 04:34 236.544 webcheck.dll
08.03.2009 04:34 43.008 licmgr10.dll
08.03.2009 04:34 105.984 url.dll
08.03.2009 04:34 193.536 msrating.dll
08.03.2009 04:34 109.568 occache.dll
08.03.2009 04:33 18.944 corpol.dll
08.03.2009 04:33 726.528 jscript.dll
08.03.2009 04:33 229.376 ieaksie.dll
08.03.2009 04:33 420.352 vbscript.dll
08.03.2009 04:33 125.952 ieakeng.dll
08.03.2009 04:32 72.704 admparse.dll
08.03.2009 04:32 163.840 ieakui.dll
08.03.2009 04:32 36.864 ieudinit.exe
08.03.2009 04:32 55.808 iernonce.dll
08.03.2009 04:32 71.680 iesetup.dll
08.03.2009 04:32 128.512 advpack.dll
08.03.2009 04:32 94.720 inseng.dll
08.03.2009 04:32 594.432 msfeeds.dll
08.03.2009 04:32 611.840 mstime.dll
08.03.2009 04:31 183.808 iepeers.dll
08.03.2009 04:31 13.312 msfeedssync.exe
08.03.2009 04:31 59.904 icardie.dll
08.03.2009 04:31 55.296 msfeedsbs.dll
08.03.2009 04:31 348.160 dxtmsft.dll
08.03.2009 04:31 216.064 dxtrans.dll
08.03.2009 04:31 34.816 imgutil.dll
08.03.2009 04:31 46.592 pngfilt.dll
08.03.2009 04:31 66.560 mshtmled.dll
08.03.2009 04:31 48.128 mshtmler.dll
08.03.2009 04:31 45.568 mshta.exe
08.03.2009 04:31 1.638.912 mshtml.tlb
08.03.2009 04:30 66.560 tdc.ocx
08.03.2009 04:22 164.352 ieui.dll
08.03.2009 04:22 156.160 msls31.dll
08.03.2009 04:15 57.667 ieuinit.inf
08.03.2009 04:11 445.952 ieapfltr.dll
06.03.2009 16:44 286.208 pdh.dll
12.02.2009 22:20 6.873 IE8Eula.rtf
09.02.2009 13:47 2.182.784 ntoskrnl.exe
09.02.2009 13:47 2.060.032 ntkrnlpa.exe
09.02.2009 12:18 731.136 lsasrv.dll
09.02.2009 12:18 677.888 advapi32.dll
09.02.2009 12:18 399.360 rpcss.dll
09.02.2009 12:18 740.352 ntdll.dll
09.02.2009 12:04 111.104 services.exe
06.02.2009 21:07 3.698.584 ieapfltr.dat
06.02.2009 18:54 35.328 sc.exe
03.02.2009 22:08 55.808 secur32.dll
2068 Datei(en) 420.215.192 Bytes
0 Verzeichnis(se), 277.049.344 Bytes frei
----- Prefetch -------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2\Prefetch
02.09.2009 20:03 11.378 FIND.EXE-2E228A47.pf
02.09.2009 20:03 24.188 CMD.EXE-1657040F.pf
02.09.2009 20:03 16.470 NOTEPAD.EXE-2D6A6209.pf
02.09.2009 20:02 31.212 REALPLAY.EXE-39F79CBD.pf
02.09.2009 20:01 34.916 WINRAR.EXE-3588DFE8.pf
02.09.2009 20:00 54.790 HIJACKTHIS.EXE-39024128.pf
02.09.2009 20:00 14.830 HJTINSTALL.EXE-2A51536A.pf
02.09.2009 19:59 36.422 WMIPRVSE.EXE-06C7A357.pf
02.09.2009 19:54 18.858 VERCLSID.EXE-3A036B52.pf
02.09.2009 19:54 16.964 TASKMGR.EXE-07D74BEB.pf
02.09.2009 19:53 29.344 RUNDLL32.EXE-590F9A09.pf
02.09.2009 19:53 12.444 RUNDLL32.EXE-5D7F05D7.pf
02.09.2009 19:53 33.664 RUNDLL32.EXE-4B1466CC.pf
02.09.2009 19:53 27.976 CONTROL.EXE-2670A960.pf
02.09.2009 19:53 17.700 AAWSERVICE.EXE-1E1DE6D1.pf
02.09.2009 19:52 22.906 IPODSERVICE.EXE-233792DA.pf
02.09.2009 19:52 32.246 QLOCK.EXE-16D2A76E.pf
02.09.2009 19:52 24.558 WLANUTIL.EXE-018BF92E.pf
02.09.2009 19:52 21.516 CTFMON.EXE-1008679D.pf
02.09.2009 19:52 14.714 RMCLOCK.EXE-38718294.pf
02.09.2009 19:52 18.282 ADOBE GAMMA LOADER.EXE-1FD09C3A.pf
02.09.2009 19:52 14.726 ITUNESHELPER.EXE-1A970BEF.pf
02.09.2009 19:52 17.030 APPLESYNCNOTIFIER.EXE-0DCBD908.pf
02.09.2009 19:52 20.794 GROOVEMONITOR.EXE-08D3C5E7.pf
02.09.2009 19:52 13.950 ACROTRAY.EXE-25EE85AE.pf
02.09.2009 19:52 22.272 TTTVRC.EXE-2943AAD5.pf
02.09.2009 19:52 33.042 REALSCHED.EXE-0A2A7558.pf
02.09.2009 19:52 20.586 ATIPTAXX.EXE-12B5048A.pf
02.09.2009 19:52 11.210 SOUNDMAN.EXE-2A346666.pf
02.09.2009 19:52 22.540 IMAPI.EXE-12235F76.pf
02.09.2009 19:52 19.898 SETUP.EXE-03060512.pf
02.09.2009 19:52 4.688 ATI2MDXX.EXE-19517CAA.pf
02.09.2009 19:52 20.244 WGASETUP.EXE-138750B5.pf
02.09.2009 19:52 40.412 WGATRAY.EXE-165F5DBE.pf
02.09.2009 19:52 98.816 EXPLORER.EXE-0890D389.pf
02.09.2009 19:52 9.552 WSCNTFY.EXE-0CD7C255.pf
02.09.2009 19:52 19.004 USERINIT.EXE-18523E29.pf
02.09.2009 19:51 14.310 MPNOTIFY.EXE-3A398095.pf
02.09.2009 19:42 60.324 DFRGNTFS.EXE-0E36F6F5.pf
02.09.2009 19:42 26.032 DEFRAG.EXE-292FE420.pf
02.09.2009 19:42 388.434 Layout.ini
02.09.2009 19:36 29.104 LOGON.SCR-1B4B19BC.pf
02.09.2009 01:31 26.056 LOGONUI.EXE-1A40C054.pf
02.09.2009 01:16 33.894 THREATWORK.EXE-2CC668FF.pf
02.09.2009 01:16 33.928 AD-AWAREADMIN.EXE-1618EEEB.pf
02.09.2009 00:34 90.276 FIREFOX.EXE-31CB2868.pf
02.09.2009 00:32 23.208 SORT.EXE-02F086A2.pf
02.09.2009 00:32 45.548 CSCRIPT.EXE-05BE37B0.pf
02.09.2009 00:31 29.662 RUNONCE.EXE-3B938FB0.pf
02.09.2009 00:03 68.166 AD-AWARE.EXE-2B8B58D1.pf
01.09.2009 23:00 27.882 WUAUCLT.EXE-29FCF3D5.pf
01.09.2009 21:47 31.330 REGSVR32.EXE-0EE160A5.pf
01.09.2009 21:47 21.122 AAWTRAY.EXE-31E33C30.pf
01.09.2009 21:46 95.818 CIDAEMON.EXE-2C4B757A.pf
28.07.2009 17:56 12.912 DUMPREP.EXE-04DF18A5.pf
15.06.2009 23:57 61.672 ACROBATINFO.EXE-2199B043.pf
15.06.2009 23:57 112.242 ACROBAT.EXE-18DB1B67.pf
14.06.2009 12:13 72.146 SKYPEPM.EXE-03F1BFBD.pf
12.06.2006 21:29 415.396 NTOSBOOT-B00DFAAD.pf
59 Datei(en) 2.623.604 Bytes
0 Verzeichnis(se), 277.127.168 Bytes frei
----- Tasks ----------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2\tasks
02.09.2009 19:53 256 WGASetup.job
02.09.2009 19:24 6 SA.DAT
14.06.2009 17:26 458 Ad-Aware Update (Weekly).job
18.08.2001 14:00 65 desktop.ini
4 Datei(en) 785 Bytes
0 Verzeichnis(se), 277.127.168 Bytes frei
----- Windows/Temp -----------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\XPSP2\Temp
----- Temp -----------------------------
Datenträger in Laufwerk C: ist System
Volumeseriennummer: 80DA-0B2E
Verzeichnis von C:\DOKUME~1\*\LOKALE~1\Temp
02.09.2009 01:26 16.384 ~DFE04D.tmp
01.09.2009 23:49 14.055 log.txt
2 Datei(en) 30.439 Bytes
0 Verzeichnis(se), 277.123.072 Bytes frei
|
|
02.09.2009, 19:45
| #6 |
| | win32.rootkit.agent - Hilfe Hallo Coverflow, anbei die Logfiles, jeweils in einzelnen Paketen, da dieses Forum nicht mehr als 25000 Zeichen kann: CCleaner: Code:
ATTFilter AAVUpdateManager
Acer Notebook Manager
Ad-Aware
Ad-Aware SE Personal
Adobe Acrobat 7.0.9 Professional
Adobe Flash Player 10 Plugin
AFPL Ghostscript 8.53
AFPL Ghostscript Fonts
Agere Systems AC'97 Modem
AirLive WL-5480USB WLAN USB Adapter
Apple Mobile Device Support
Apple Software Update
Arena 7.01
ATI Display Driver
Bibliographix 6.1.04
Bonjour
Canon CanoScan Toolbox 4.5
CCleaner (remove only)
CIB pdf brewer 1.0.44
Cinergy Digital 2
DAEMON Tools
DivX Codec
DivX Converter
DivX Player
DivX Web Player
GlobeTrotter Mobility Manager
GMX Upload-Manager
GSview 4.8
HijackThis 2.0.2
ISI ResearchSoft - Export Helper
iTunes
iTunes Art Importer
J2SE Runtime Environment 5.0 Update 6
K-Lite Codec Pack 2.81 Standard
Kaspersky Anti-Virus 2009
MetaFrame Presentation Server Client
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Office Enterprise 2007
Microsoft Outlook-Sicherung für Persönliche Ordner
Microsoft Visual C++ 2005 Redistributable
MobileMe Control Panel
Monkey's Audio
MozBackup 1.4.2
Mozilla Firefox (3.0.11)
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MultiRes (remove only)
Octoshape add-in for Adobe Flash Player
Picasa 2
Qlock Lite
QuickTime
RadLight MPC DirectShow Filter (remove only)
RealPlayer
Skype™ 3.8
TBS WMP Plug-in
Trillian
VideoLAN VLC media player 0.8.5
VPN Client
Winamp (remove only)
Windows Internet Explorer 8
Windows Media Player Firefox Plugin
WinRAR
Code:
ATTFilter GMER 1.0.15.15077 [umbenannt.com] - http://www.gmer.net
Rootkit scan 2009-09-02 20:17:59
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB2C561DA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB2C567AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB2C581EA]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB2C57B9C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB2C55950]
SSDT 447b.sys (Plug and Play BIOS Extension/ ) ZwCreatePagingFile [0xF8649C70]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB2C59B7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB2C565AE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB2C55D92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB2C55F92]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB2C57EAC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB2C5A084]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB2C560A8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB2C56110]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB2C57D5E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB2C59620]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB2C579F8]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB2C55AB2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB2C563B2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB2C59BA6]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB2C562FE]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB2C56178]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB2C55E7C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB2C55C5A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB2C59888]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB2C555D2]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB2C58A74]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB2C55734]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB2C59F56]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB2C553D0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB2C5808C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB2C566AC]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB2C5971A]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB2C59BD0]
SSDT 447b.sys (Plug and Play BIOS Extension/ ) ZwSetSystemPowerState [0xF86554F0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB2C55B08]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB2C59CB4]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB2C59DE0]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB2C5954C]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xB2C5647E]
SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB2C564F0]
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + C8 804E2724 4 Bytes JMP F2B2C581
.text ntoskrnl.exe!_abnormal_termination + 440 804E2A9C 12 Bytes [B4, 9C, C5, B2, E0, 9D, C5, ...]
.text ntoskrnl.exe!IoIsOperationSynchronous 804E8752 5 Bytes JMP B2C6D9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text ntoskrnl.exe!FsRtlCheckLockForReadAccess 80503C29 5 Bytes JMP B2C6D626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
? C:\Programme\Toolz\rmclock_18_bin\RTCore32.sys Das System kann die angegebene Datei nicht finden. !
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [F7F73670] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\irda.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice] [F7F73520] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\Explorer.EXE [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\ole32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\USERENV.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\XPSP2\Explorer.EXE[2892] @ C:\XPSP2\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress] [5CF07774] C:\XPSP2\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
Device Ntfs.sys (NT File System Driver/Microsoft Corporation)
Device 82F2D260
AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
Device \Driver\Cdrom \Device\CdRom0 82A268A0
Device \FileSystem\Rdbss \Device\FsWrap 82A57CA0
Device \Driver\Cdrom \Device\CdRom1 82A268A0
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 82DC6008
Device \Driver\atapi \Device\Ide\IdePort0 82DC6008
Device \Driver\atapi \Device\Ide\IdePort1 82DC6008
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 82DC6008
Device \FileSystem\Srv \Device\LanmanServer 8265E5E8
AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
Device \FileSystem\uigxrdr \Device\GMXMiniRdr 82DC3DD0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 82A65C30
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device 82A65C30
Device \FileSystem\Npfs \Device\NamedPipe 82B44E30
Device \FileSystem\Msfs \Device\Mailslot 82B4CDC8
Device \Driver\d347prt \Device\Scsi\d347prt1Port3Path0Target0Lun0 82D08B58
Device \Driver\d347prt \Device\Scsi\d347prt1 82D08B58
Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 82A6BAE8
Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 82A6BAE8
Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 82A6BAE8
Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 82A6BAE8
Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 82A6BAE8
Device Cdfs.SYS (CD-ROM File System Driver/Microsoft Corporation)
Device 82B94B38
---- Modules - GMER 1.0.15 ----
Module _________ F858D000-F85A5000 (98304 bytes)
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ujdew 0x20 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej40 0xBC 0x22 0xA5 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej41 0x2A 0x22 0xA5 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej42 0x2A 0x22 0xA5 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej43 0x2A 0x22 0xA5 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\447s\Config\jdgg40@ljej44 0x2A 0x22 0xA5 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}@DisplayName Alcohol 120%
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6@ProductName Alcohol 120%
---- EOF - GMER 1.0.15 ----
|
|
02.09.2009, 21:25
| #7 | |
| /// Helfer-Team | win32.rootkit.agent - Hilfe hi Zitat:
1. - den Quarantäne Ordner überall leeren - Antivirus bzw Anti-Spy-Programm usw - Entferne Gmer - CombiFix entfernen: Start --> Ausführen -->Kopiere rein Combofix /u --> OK Entferne auf C:\ Qoobox (falls noch vorhanden) -->Papierkorb leeren oder einfach nur entfernen, C:\ Qoobox (falls noch vorhanden) auch löschen-->Papierkorb leeren 2. - Falls noch nicht getan hast (ansonsten updaten -> erneut laufen lassen-> Log posten): - Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst! - Dateien, die noch in Benutzung sind,nicht löschbar.
4. reinige dein System mit Ccleaner:
5.
|
|
| Themen zu win32.rootkit.agent - Hilfe |
| ad-aware, analyse, anti-malware, combofix, dateien, entdeck, entfernen, entfernt, erstellt, forum, hijack, hijackthis, kaspersky, logfile, malwarebytes, malwarebytes anti-malware, modus, namen, nicht möglich, scan, scannen, spyware, start, starten, system, win |
Linear-Darstellung
