|
Log-Analyse und Auswertung: Hatte Rootkit, PC wieder sauber?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
07.01.2010, 19:24 | #1 |
| Hatte Rootkit, PC wieder sauber? Hallo, hatte mir einen Rootkit-Virus eingefangen. Hab ihn mit dem Programm "unhackme" entfernt. Würde aber gerne wissen, ob mein PC wirklich wieder sauber ist. Hab mal HijackThis laufen lassen, mit folg. Ergebnis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:48:15, on 07.01.2010 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Bonjour\mDNSResponder.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Java\jre6\bin\jusched.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\igfxpers.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\UnHackMe\hackmon.exe C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe -- End of file - 6432 bytes |
08.01.2010, 16:15 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? Hallo,
__________________Rootkits sieht man nicht mit "herkömmlichen" Tools wie Hijackthis. Das ist Sinn und Zweck von Rootkits Poste bitte entsprechende Logfile bzw. den Namen des Rootkits. Mach auch einen Durchgang mit GMER und poste auch das Log.
__________________ |
08.01.2010, 19:39 | #3 |
| Hatte Rootkit, PC wieder sauber? Hallo,
__________________wusste garnicht, dass HijackThis ein "herkömmliches" Tool ist. In Foren heißt es ja immer, dass man bei Verdacht auf Virenbefall o.ä. HijackThis laufen lassen soll. Naja, hab jetzt nen Durchlauf mit GMER gemacht. Der Rootkit hieß übrigens "siszyd32". Keine Ahnung, ob das der richtige Name ist, hatte jedenfalls ne "siszyd32.exe" auf dem Rechner. Und hier das Log von GMER: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-08 19:31:59 Windows 5.1.2600 Service Pack 3 Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys ---- System - GMER 1.0.15 ---- SSDT F7BEA186 ZwCreateKey SSDT F7BEA17C ZwCreateThread SSDT F7BEA18B ZwDeleteKey SSDT F7BEA195 ZwDeleteValueKey SSDT F7BEA19A ZwLoadKey SSDT F7BEA168 ZwOpenProcess SSDT F7BEA16D ZwOpenThread SSDT F7BEA1A4 ZwReplaceKey SSDT F7BEA19F ZwRestoreKey SSDT F7BEA190 ZwSetValueKey SSDT F7BEA177 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .pak2 C:\WINDOWS\system32\drivers\wkuvah.sys entry point in ".pak2" section [0xF7421168] ? C:\WINDOWS\system32\drivers\wkuvah.sys Ein an das System angeschlossenes Gerät funktioniert nicht. PAGE Ntfs.sys F7247E55 4 Bytes CALL 863BF6F9 ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 863C8B28 AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs A9548400 ---- Services - GMER 1.0.15 ---- Service (*** hidden *** ) [BOOT] wkuvah <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Start 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@ErrorControl 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Group Boot Bus Extender Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Type 1 Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Start 0 Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@ErrorControl 0 Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Group Boot Bus Extender ---- EOF - GMER 1.0.15 ---- |
10.01.2010, 12:03 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? Herkömmlich deswegen, weil es nicht für die Rootkiterkennung konzipiert wurde! Da ist anscheinend immer noch ein Rootkit aktiv: Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
10.01.2010, 13:08 | #5 |
| Hatte Rootkit, PC wieder sauber? Linux-CD hab ich keine. Was soll ich denn tun? |
10.01.2010, 13:10 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1 6. Benenne auf sda1 die Datei /windows/system32/drivers/wkuvah.sys um in wkuvah.bad 7. Starte den Rechner neu und boote Windows 8. Die in Linux umbenannte Datei bei Virustotal.com auswerten lassen und Ergebnislink posten 9. Einen neuen Durchlauf mit GMER machen und Log posten
__________________ --> Hatte Rootkit, PC wieder sauber? |
10.01.2010, 15:36 | #7 |
| Hatte Rootkit, PC wieder sauber? Hier der Ergebnislink von Virustotal: Virustotal. MD5: a5e7a32a05af52b5807038a24c8b97e0 Hacktool.Rootkit Rootkit.Kryptic.763904 Rootkit.Agent.AJCN Und hier das Ergebnis des GMER-Durchlaufs: GMER 1.0.15.15281 - ***.gmer.net Rootkit scan 2010-01-10 15:31:24 Windows 5.1.2600 Service Pack 3 Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys ---- System - GMER 1.0.15 ---- SSDT F7C2ECD6 ZwCreateKey SSDT F7C2ECCC ZwCreateThread SSDT F7C2ECDB ZwDeleteKey SSDT F7C2ECE5 ZwDeleteValueKey SSDT F7C2ECEA ZwLoadKey SSDT F7C2ECB8 ZwOpenProcess SSDT F7C2ECBD ZwOpenThread SSDT F7C2ECF4 ZwReplaceKey SSDT F7C2ECEF ZwRestoreKey SSDT F7C2ECE0 ZwSetValueKey SSDT F7C2ECC7 ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwCallbackReturn + 24EC 80501D14 4 Bytes JMP 8EF7C2EC ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs A9F8B400 ---- EOF - GMER 1.0.15 ---- |
10.01.2010, 15:41 | #8 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? Ah sehr schön, dann hat das Umbenennen ja geklappt! Die Rootkiteinträge sind im letzten GMER-Log jedenfalls nicht mehr zu sehen Mach nun mal bitte noch einen vollständigen Durchlauf mit Malwarebytes und poste das Log. Achte auf aktuelle Signaturen.
__________________ Logfiles bitte immer in CODE-Tags posten |
10.01.2010, 19:43 | #9 |
| Hatte Rootkit, PC wieder sauber? Puh, das war jetzt ein ganz schönes Geduldspiel: Während Malwarebytes lief, kam zweimal Virenalarm. Dann kam, nachdem ich die von Malwarebytes gefunden Objekte gelöscht hatte, bei dem notwendigen Neustart ne Rootkitmeldung von "unhackme". Nach einem erneuten Neustart war sie plötzlich wieder weg. Hab dann nochmal GMER laufen lassen. Hier war alles sauber. Anschließend mit Virenscanner System gecheckt, auch kein Fund. Erneut Malwarebytes laufen lassen und es wurden wieder infizierte Objekte gemeldet. Verwirrend ist, dass es sich hier um Registry-Einträge handelt. Und wenn ich die richtig interpretiere, dann sind dies die Disable-Kennungen aus dem Sicherheitscenter. Hab nämlich die Warnmeldungen für Virenscanner und Autom. Updates ausgeschaltet. Hier mal die Logs der Malwarebytes-Durchläufe: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3533 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 10.01.2010 16:16:51 mbam-log-2010-01-10 (16-16-51).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 201501 Laufzeit: 25 minute(s), 5 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\wkuvah.bad (Rootkit.Agent) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\...\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully. Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3533 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 10.01.2010 19:23:45 mbam-log-2010-01-10 (19-23-39).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 201442 Laufzeit: 24 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Geändert von Chris_R (10.01.2010 um 20:14 Uhr) |
10.01.2010, 21:01 | #10 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? Und nun bitte CF: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
__________________ Logfiles bitte immer in CODE-Tags posten |
10.01.2010, 22:17 | #11 |
| Hatte Rootkit, PC wieder sauber? So, hier das Log von ComboFix: ComboFix 10-01-04.01 - ... 10.01.2010 22:03:16.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.595 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\flips.exe AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} . ((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 )))))))))))))))))))))))))))))) . 2010-01-10 20:47 . 2010-01-10 20:47 -------- d-----w- c:\programme\CCleaner 2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\Malwarebytes 2010-01-10 14:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware 2010-01-10 14:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\programme\Trend Micro 2010-01-07 17:09 . 2008-04-14 06:52 116736 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll 2010-01-07 17:09 . 2008-04-14 06:52 19456 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll 2010-01-07 17:09 . 2001-08-18 03:54 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll 2010-01-07 17:09 . 2001-08-18 03:55 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe 2010-01-07 17:09 . 2001-08-18 03:55 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe 2010-01-07 17:09 . 2001-08-18 03:55 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe 2010-01-07 17:07 . 2001-08-17 11:13 19016 -c--a-w- c:\windows\system32\dllcache\w926nd.sys 2010-01-07 17:06 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys 2010-01-07 17:05 . 2001-08-18 03:52 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll 2010-01-07 17:04 . 2001-08-17 11:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys 2010-01-07 17:03 . 2001-08-18 03:54 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll 2010-01-07 17:02 . 2001-08-18 03:54 45568 -c--a-w- c:\windows\system32\dllcache\smb3w.dll 2010-01-07 17:01 . 2001-08-17 11:51 98080 -c--a-w- c:\windows\system32\dllcache\sgiulnt5.sys 2010-01-07 17:00 . 2001-08-18 03:52 62496 -c--a-w- c:\windows\system32\dllcache\s3mtrio.dll 2010-01-07 16:59 . 2001-08-18 03:33 899658 -c--a-w- c:\windows\system32\dllcache\r2mdkxga.sys 2010-01-07 16:58 . 2001-08-17 13:04 92416 -c--a-w- c:\windows\system32\dllcache\phildec.sys 2010-01-07 16:57 . 2001-08-17 13:05 31872 -c--a-w- c:\windows\system32\dllcache\ovce.sys 2010-01-07 16:56 . 2001-08-18 03:26 65406 -c--a-w- c:\windows\system32\dllcache\netflx3.sys 2010-01-07 16:55 . 2008-04-13 23:16 49024 -c--a-w- c:\windows\system32\dllcache\mstape.sys 2010-01-07 16:54 . 2001-08-17 12:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys 2010-01-07 16:53 . 2001-08-18 03:53 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll 2010-01-07 16:52 . 2001-08-18 03:53 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll 2010-01-07 16:51 . 2001-08-17 12:28 44863 -c--a-w- c:\windows\system32\dllcache\hsf_soar.sys 2010-01-07 16:50 . 2008-04-13 23:15 19200 -c--a-w- c:\windows\system32\dllcache\hidir.sys 2010-01-07 16:49 . 2001-08-17 11:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys 2010-01-07 16:48 . 2001-08-17 11:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys 2010-01-07 16:47 . 2001-08-18 03:53 112128 -c--a-w- c:\windows\system32\dllcache\dc260usd.dll 2010-01-07 16:46 . 2001-08-17 11:13 46108 -c--a-w- c:\windows\system32\dllcache\cben5.sys 2010-01-07 16:45 . 2001-08-17 11:49 17152 -c--a-w- c:\windows\system32\dllcache\atitunep.sys 2010-01-07 16:44 . 2001-08-18 03:52 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll 2010-01-07 16:44 . 2008-04-14 06:29 2147840 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe 2010-01-06 19:00 . 2010-01-06 19:00 -------- d-----w- c:\windows\RestoreSafeDeleted 2010-01-06 18:49 . 2010-01-06 18:49 24416 ----a-w- c:\windows\system32\drivers\regguard.sys 2010-01-06 18:45 . 2010-01-06 18:45 2 --shatr- c:\windows\winstart.bat 2010-01-06 18:45 . 2010-01-06 18:45 35040 ----a-w- c:\windows\system32\Partizan.exe 2010-01-06 18:45 . 2010-01-06 18:45 34760 ----a-w- c:\windows\system32\drivers\Partizan.sys 2010-01-06 18:45 . 2009-12-22 13:38 12752 ----a-w- c:\windows\system32\drivers\UnHackMeDrv.sys 2010-01-06 18:45 . 2010-01-06 18:45 -------- d-----w- c:\programme\UnHackMe 2010-01-06 14:26 . 2006-05-24 12:36 110592 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3\temp\cleanup.exe 2010-01-06 09:58 . 2010-01-08 23:22 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3 2009-12-25 19:10 . 2009-02-18 01:49 58536 ----a-w- c:\windows\system32\drivers\SE1008mdm.sys 2009-12-25 19:10 . 2009-12-25 19:10 -------- d-----w- c:\programme\Sony Ericsson 2009-12-24 23:15 . 2009-12-24 23:15 -------- d-----w- c:\dokumente und einstellungen\...\.dvdcss 2009-12-24 23:14 . 2009-12-24 23:15 -------- d-----w- c:\programme\DVD Audio Extractor 2009-12-21 18:06 . 2009-12-25 19:31 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\vlc 2009-12-21 18:04 . 2009-12-21 18:04 -------- d-----w- c:\programme\VideoLAN 2009-12-21 17:53 . 2009-12-24 23:06 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-01-06 15:15 . 2009-10-30 20:51 -------- d-----w- c:\programme\Opera 2009-12-07 21:20 . 2009-10-30 21:36 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys 2009-12-03 18:45 . 2009-12-03 18:45 162432 ----a-w- c:\windows\system32\drivers\ITHSGT.del 2009-12-03 18:45 . 2009-12-03 18:45 12032 ----a-w- c:\windows\system32\drivers\LILSGT.del 2009-12-03 18:45 . 2009-12-03 18:45 8854 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Uninstall_Fahrenheit_8C2B6FBDC8D14FA595F7B3231B7D8CBC.exe 2009-12-03 18:45 . 2009-12-03 18:45 45056 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_BA10AC78E68745238B93540428FC256F.exe 2009-12-03 18:45 . 2009-12-03 18:45 10134 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\ARPPRODUCTICON.exe 2009-12-03 18:39 . 2009-12-03 18:39 -------- d-----w- c:\programme\Atari 2009-12-03 18:38 . 2009-10-30 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield 2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brownie 2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brother 2009-12-01 22:19 . 2009-12-01 22:19 34 ----a-w- c:\windows\system32\BD5240.DAT 2009-12-01 22:19 . 2009-10-30 20:32 -------- d--h--w- c:\programme\InstallShield Installation Information 2009-11-30 21:44 . 2009-11-01 13:48 -------- d-----w- c:\programme\Java 2009-11-30 21:44 . 2009-11-30 21:44 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll 2009-11-30 21:44 . 2009-11-30 21:44 79488 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll 2009-11-30 17:13 . 2009-11-30 17:13 -------- d-----w- c:\programme\IrfanView 2009-11-24 20:02 . 2009-11-14 15:46 -------- d-----w- c:\programme\AoA Audio Extractor 2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\DivX 2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared 2009-11-17 13:21 . 2009-11-17 13:21 48 ----a-w- c:\windows\wpd99.drv 2009-11-17 13:20 . 2009-10-30 18:24 22200 ----a-w- c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT 2009-11-16 20:16 . 2009-11-16 20:11 -------- d-----w- c:\programme\A Tale of Two Kingdoms 2009-11-16 20:11 . 2009-11-16 20:11 286720 ----a-w- c:\windows\iun504.exe 2009-11-14 19:25 . 2009-11-14 19:25 286720 ----a-w- c:\windows\iun506.exe 2009-11-14 16:14 . 2009-11-14 16:14 40960 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\LPC210x_ISP.exe_B60B0D3157BA46A8AB5FD037240E063F.exe 2009-11-14 16:14 . 2009-11-14 16:14 151552 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\ARPPRODUCTICON.exe 2009-11-14 16:14 . 2009-11-14 16:14 -------- d-----w- c:\programme\Philips Semiconductors 2009-11-14 14:14 . 2009-11-14 14:14 -------- d-----w- c:\programme\MSECache 2009-11-14 14:13 . 2009-11-14 14:13 77874 ----a-w- c:\windows\system32\pdfmona.dll 2009-11-14 14:13 . 2009-11-14 14:13 45300 ----a-w- c:\windows\system32\pdfmon.dll 2009-11-14 14:04 . 2009-11-14 14:04 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\ibf 2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\programme\ibf 2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ibf 2009-11-14 13:52 . 2009-11-14 13:52 -------- d-----w- c:\programme\Winamp 2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll 2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll 2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll 2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll 2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll 2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll 2009-11-01 13:47 . 2009-11-01 13:47 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll 2009-10-30 21:19 . 2009-10-30 21:19 0 ----a-w- c:\windows\nsreg.dat 2009-10-30 19:33 . 2009-10-30 18:14 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-10-30 18:23 . 2008-04-14 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat 2009-10-30 18:23 . 2008-04-14 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat 2009-10-30 18:11 . 2009-10-30 18:11 21740 ----a-w- c:\windows\system32\emptyregdb.dat . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UnHackMe Monitor"="c:\programme\UnHackMe\hackmon.exe" [2009-12-22 594144] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288] "SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280] "SkyTel"="SkyTel.EXE" [2006-06-27 2879488] "RTHDCPL"="RTHDCPL.EXE" [2006-06-27 16248320] "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744] "avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153] "Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\ Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-30 295606] Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"= "c:\\Programme\\Bonjour\\mDNSResponder.exe"= "c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"= "c:\\Programme\\Opera\\opera.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server "3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server "50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server "50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 22:36 108289] S0 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [06.01.2010 19:45 34760] S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [06.01.2010 19:49 24416] S3 SE1008mdm;Sony Ericsson SE1008 Mobile Device Full USB Driver;c:\windows\system32\drivers\SE1008mdm.sys [25.12.2009 20:10 58536] --- Andere Dienste/Treiber im Speicher --- *Deregistered* - UnHackMeDrv . . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.google.de/ uInternet Settings,ProxyOverride = *.local IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html FF - ProfilePath - c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\rw3hg9qw.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/ FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-01-10 22:05 Windows 5.1.2600 Service Pack 3 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2010-01-10 22:06:51 ComboFix-quarantined-files.txt 2010-01-10 21:06 Vor Suchlauf: 22 Verzeichnis(se), 24.618.278.912 Bytes frei Nach Suchlauf: 23 Verzeichnis(se), 24.590.880.768 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect - - End Of File - - 3724254DA90559D657CF3B4B7A45194D Ich hoffe, es gibt kein Problem, wenn ich die Wiederherstellungskonsole aus dem Systemstart (= Boot.ini) wieder rausschmeiße. |
11.01.2010, 08:43 | #12 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? Jetzt dürfte es ok sein, das Rootkit ist auch weg. Wie Du siehst ist der zuverlässigste Ausweg bei besonders hartnäckigen Fällen nur noch ein Rettungssystem Wie verhält sich Dein Rechner nun? Noch Meldungen?
__________________ Logfiles bitte immer in CODE-Tags posten |
11.01.2010, 16:57 | #13 |
| Hatte Rootkit, PC wieder sauber? Unhackme meckert nun die Datei "catchme.sys" an. Gehört die zu ComboFix? Der Rechner läuft schon normal, seit ich "siszyd32" entfernt hab. War mir aber nicht sicher, ob er wieder sauber ist. Naja, wie man sieht, war meine Vorsicht berechtigt. Auf jeden Fall schon mal ganz dickes Dankeschön für die Hilfe. |
11.01.2010, 20:04 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Hatte Rootkit, PC wieder sauber? catchme.exe ist ein Teil von GMER, CF nutzt das aber auch.
__________________ Logfiles bitte immer in CODE-Tags posten |
11.01.2010, 21:00 | #15 |
| Hatte Rootkit, PC wieder sauber? Gut, dann kann ich ja jetzt wieder ruhig schlafen |
Themen zu Hatte Rootkit, PC wieder sauber? |
adobe, antivir, antivir guard, avira, bho, bonjour, computer, cs3, desktop, excel, explorer, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, pdf, pdf-datei, plug-in, programm, programme, rootkit, server, software, system, windows, windows xp |