Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Fragliches Rootkit? oder Fehlalarm?

Fragliches Rootkit? oder Fehlalarm?


Plagegeister aller Art und deren Bekämpfung: Fragliches Rootkit? oder Fehlalarm?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.02.2011, 14:14   #1
eine
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Hallo,

ich weiss nicht ganz, was ich von diesen "Funden" von GMER udn RootkitRevealer halten soll - ist es nun ein Befall, oder nicht?

Mein Rechner arbeitet ansonsten vollkommen normal - keine Abstürze oder ähnliches. Nur: Adaware schaltet sich seltsamerweise von allein aus - bzw wird durch irgendwas beendet.
Avira und Malwarebytes finden nix.

Und was hat es mit diesen System.Enterprises.Services aufsich?

GMER:
GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2011-02-13 09:32:08
Windows 5.1.2600 Service Pack 3

---- System - GMER 1.0.15 ----
SSDT F7CA4BBE ZwCreateKey
SSDT F7CA4BB4 ZwCreateThread
SSDT F7CA4BC3 ZwDeleteKey
SSDT F7CA4BCD ZwDeleteValueKey
SSDT F7CA4BD2 ZwLoadKey
SSDT F7CA4BA0 ZwOpenProcess
SSDT F7CA4BA5 ZwOpenThread
SSDT F7CA4BDC ZwReplaceKey
SSDT F7CA4BD7 ZwRestoreKey
SSDT F7CA4BC8 ZwSetValueKey

Code F7C7FC9C ZwRequestPort
Code F7C7FD3C ZwRequestWaitReplyPort
Code F7C7FBFC ZwTraceEvent
Code F7C7FC9B NtRequestPort
Code F7C7FD3B NtRequestWaitReplyPort
Code F7C7FBFB NtTraceEvent

---- Kernel code sections - GMER 1.0.15 ----

? C:\WINDOWS\system32\Drivers\RKREVEAL150.SYS Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

---- EOF - GMER 1.0.15 ----


Rootkit Revealer
HKLM\SECURITY\Policy\Secrets\SAC* 31.10.2010 13:26 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 31.10.2010 13:26 0 bytes Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 01.11.2010 18:09 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 01.11.2010 18:09 111.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_MSIL\IEExecRemote\2.0.0.0__b03f5f7f11d50a3a\IEExecRemote.dll 01.11.2010 18:09 8.00 KB Visible in Windows API, but not in MFT or directory index.

Bin für jegliche Hilfe dankbar!

eine

Alt 13.02.2011, 21:35   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Warum führst du ohne offensichtlichen Grund GMER aus?
__________________

__________________
Alt 14.02.2011, 18:27   #3
eine
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Na weil sich ein Schutzprogramm wie Adaware nun mal nicht ohne Grund von selber ausstellen sollte! Ist das so abwägig oder bin ich nur überängstlich?
__________________
Alt 14.02.2011, 18:55   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 15.02.2011, 17:20   #5
eine
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Hier mal OTL:OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 15.02.2011 16:55:50 - Run 1
OTL by OldTimer - Version 3.2.20.6     Folder = C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.023,00 Mb Total Physical Memory | 467,00 Mb Available Physical Memory | 46,00% Memory free
2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 24,41 Gb Total Space | 3,91 Gb Free Space | 16,03% Space Free | Partition Type: NTFS
Drive E: | 60,55 Gb Total Space | 58,66 Gb Free Space | 96,89% Space Free | Partition Type: NTFS
Drive F: | 64,09 Gb Total Space | 62,46 Gb Free Space | 97,46% Space Free | Partition Type: NTFS
 
Computer Name: *** | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe (Lavasoft)
PRC - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - E:\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D)
PRC - E:\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D)
PRC - C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - E:\CDBurnerXP\NMSAccessU.exe ()
PRC - C:\Programme\OpenOffice.org 3\program\soffice.bin (OpenOffice.org)
PRC - C:\Programme\OpenOffice.org 3\program\soffice.exe (OpenOffice.org)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira GmbH)
PRC - C:\Programme\Trend Micro\RUBotted\TMRUBottedTray.exe (Trend Micro Inc.)
PRC - C:\Programme\Trend Micro\RUBotted\TMRUBotted.exe (Trend Micro Inc.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\ScanWizard 5\ScannerFinder.exe ()
PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)
PRC - C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
PRC - C:\Programme\HP\Digital Imaging\bin\hpqdirec.exe (Hewlett-Packard Company)
 
 
========== Modules (SafeList) ==========
 
MOD - C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
MOD - C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll (Microsoft Corporation)
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (Akamai) -- c:\Programme\Gemeinsame Dateien\Akamai\netsession_win_dbc0250.dll ()
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (Lavasoft Ad-Aware Service) -- C:\Programme\Lavasoft\Ad-Aware\AAWService.exe (Lavasoft)
SRV - (KOTX) -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\KOTX.exe (Sysinternals - www.sysinternals.com)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (SbieSvc) -- E:\Sandboxie\SbieSvc.exe (SANDBOXIE L.T.D)
SRV - (AdobeActiveFileMonitor9.0) -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe (Adobe Systems Incorporated)
SRV - (NMSAccess) -- E:\CDBurnerXP\NMSAccessU.exe ()
SRV - (RUBotted) -- C:\Programme\Trend Micro\RUBotted\TMRUBotted.exe (Trend Micro Inc.)
SRV - (ACDaemon) -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe (ArcSoft Inc.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (Lavasoft Kernexplorer) -- C:\Programme\Lavasoft\Ad-Aware\kernexplorer.sys ()
DRV - (SbieDrv) -- E:\Sandboxie\SbieDrv.sys (SANDBOXIE L.T.D)
DRV - (Lbd) -- C:\WINDOWS\system32\DRIVERS\Lbd.sys (Lavasoft AB)
DRV - (nv) -- C:\WINDOWS\system32\drivers\nv4_mini.sys (NVIDIA Corporation)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows (R) Server 2003 DDK provider)
DRV - (TMPassthruMP) -- C:\WINDOWS\system32\drivers\TMPassthru.sys (Trend Micro Inc.)
DRV - (TMPassthru) -- C:\WINDOWS\system32\drivers\TMPassthru.sys (Trend Micro Inc.)
DRV - (Cardex) -- C:\WINDOWS\system32\drivers\TBPanel.sys (Windows (R) 2000 DDK provider)
DRV - (WimFltr) -- C:\WINDOWS\system32\drivers\WimFltr.sys (Microsoft Corporation)
DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)
DRV - (MTsensor) -- C:\WINDOWS\system32\drivers\ASACPI.sys ()
DRV - (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
 
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Components: C:\Programme\Mozilla Firefox\components [2010.12.16 20:07:47 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.13\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2010.12.16 20:07:47 | 000,000,000 | ---D | M]
 
[2010.10.31 13:48:53 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2011.02.12 17:35:58 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ir5ei770.default\extensions
[2010.11.24 19:08:53 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ir5ei770.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.11.17 10:41:02 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ir5ei770.default\extensions\toolbar@ask.com
[2010.10.31 18:34:09 | 000,004,140 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\ir5ei770.default\searchplugins\youtube.xml
[2011.02.12 17:35:58 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.10.31 17:31:23 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2010.10.31 13:56:56 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2010.09.15 04:50:38 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Mozilla Firefox\plugins\npdeployJava1.dll
[2010.11.19 11:17:59 | 000,001,392 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\amazondotcom-de.xml
[2010.11.19 11:17:59 | 000,002,344 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\eBay-de.xml
[2010.11.19 11:17:59 | 000,006,805 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\leo_ende_de.xml
[2010.11.19 11:17:59 | 000,001,178 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\wikipedia-de.xml
[2010.11.19 11:17:59 | 000,001,105 | ---- | M] () -- C:\Programme\Mozilla Firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2006.02.28 13:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TMRUBottedTray] C:\Programme\Trend Micro\RUBotted\TMRUBottedTray.exe (Trend Micro Inc.)
O4 - HKCU..\Run: [SandboxieControl] E:\Sandboxie\SbieCtrl.exe (SANDBOXIE L.T.D)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = E:\ERUNT\AUTOBACK.EXE ()
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRecentDocsNetHood = 1
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Java Plug-in 1.6.0_19)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.31 13:12:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O34 - HKLM BootExecute: (lsdelete) - C:\WINDOWS\System32\lsdelete.exe ()
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.02.13 13:51:48 | 000,953,856 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc40u.dll
[2011.02.13 13:51:47 | 000,974,848 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mfc42.dll
[2011.02.13 13:51:36 | 000,617,472 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\comctl32.dll
[2011.02.13 13:50:54 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ndproxy.sys
[2011.02.13 13:47:18 | 000,045,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wab.exe
[2011.02.12 18:42:11 | 000,273,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\bthport.sys
[2011.02.12 18:42:01 | 000,357,248 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\srv.sys
[2011.02.12 18:41:45 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll
[2011.02.12 18:41:45 | 000,455,680 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mrxsmb.sys
[2011.02.12 18:41:21 | 000,119,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\t2embed.dll
[2011.02.12 18:41:21 | 000,081,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\fontsub.dll
[2011.02.12 18:41:19 | 002,195,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntoskrnl.exe
[2011.02.12 18:41:18 | 000,737,792 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\lsasrv.dll
[2011.02.12 18:41:17 | 002,151,424 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrnlmp.exe
[2011.02.12 18:41:17 | 002,029,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ntkrpamp.exe
[2011.02.12 18:40:52 | 000,203,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\rmcast.sys
[2011.02.12 18:39:40 | 000,337,408 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\netapi32.dll
[2011.02.12 18:36:24 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2011.02.12 17:50:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas
[2011.02.12 17:50:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\de
[2011.02.12 17:50:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits
[2011.02.12 17:43:46 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$
[2011.02.12 17:43:45 | 000,000,000 | ---D | C] -- C:\WINDOWS\EHome
[2011.02.11 19:20:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tracker Software
[2011.02.10 15:19:29 | 001,913,160 | ---- | C] (Trend Micro Inc.) -- C:\HousecallLauncher.exe
[2011.02.08 10:09:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\gtk-2.0
[2011.02.08 10:09:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.thumbnails
[2011.02.08 10:04:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Eigene Dateien\gegl-0.0
[2011.02.08 10:04:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\.gimp-2.6
[2011.02.08 10:00:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\GIMP
[2011.02.08 09:59:44 | 000,000,000 | ---D | C] -- C:\Programme\GIMP-2.0
[2011.01.21 15:44:10 | 000,440,832 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shimgvw.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.02.15 16:52:28 | 000,001,082 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.02.15 16:51:41 | 000,000,470 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2011.02.15 16:49:31 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.02.15 08:10:07 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.02.15 07:37:13 | 000,013,716 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.02.15 07:37:08 | 000,123,728 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.02.13 16:00:10 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.02.13 15:57:48 | 000,448,800 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.02.13 15:57:48 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.02.13 15:57:48 | 000,080,108 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.02.13 15:57:48 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.02.13 08:06:20 | 000,003,354 | ---- | M] () -- C:\WINDOWS\Sandboxie.ini
[2011.02.13 08:04:47 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Ÿ9Ÿ9
[2011.02.13 08:02:59 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2011.02.12 17:47:07 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.02.10 15:42:08 | 000,000,036 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011.02.10 15:19:29 | 001,913,160 | ---- | M] (Trend Micro Inc.) -- C:\HousecallLauncher.exe
[2011.02.08 10:09:17 | 000,000,843 | ---- | M] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.08 10:00:33 | 000,000,780 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GIMP 2.lnk
[2011.02.05 10:42:47 | 000,000,039 | ---- | M] () -- C:\WINDOWS\System32\mscandc.ini
[2011.01.21 15:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shell32.dll
[2011.01.21 15:44:10 | 000,440,832 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shimgvw.dll
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.02.13 08:04:47 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Ÿ9Ÿ9
[2011.02.12 17:45:53 | 000,001,374 | ---- | C] () -- C:\WINDOWS\imsins.BAK
[2011.02.11 19:16:40 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Startmenü\Programme\Windows Media Player.lnk
[2011.02.10 15:42:08 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2011.02.08 10:09:17 | 000,000,843 | ---- | C] () -- C:\Dokumente und Einstellungen\***\.recently-used.xbel
[2011.02.08 10:00:33 | 000,000,780 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GIMP 2.lnk
[2011.01.08 21:44:58 | 000,000,039 | ---- | C] () -- C:\WINDOWS\System32\mscandc.ini
[2011.01.08 21:39:33 | 000,285,216 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsio.sys
[2011.01.08 21:39:33 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\drivers\Onsreged.sys
[2010.12.24 16:30:25 | 000,006,656 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.12.16 20:41:31 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2010.12.12 18:15:13 | 000,044,491 | ---- | C] () -- C:\WINDOWS\System32\MiiIniFile13.ini
[2010.10.31 18:58:20 | 000,000,558 | ---- | C] () -- C:\WINDOWS\DFC.INI
[2010.10.31 18:48:08 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2010.10.31 18:39:56 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2010.10.31 18:37:25 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2010.10.31 18:37:23 | 000,015,508 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2010.10.31 18:37:13 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2010.10.31 17:53:08 | 000,002,248 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpzinstall.log
[2010.10.31 15:46:23 | 000,003,354 | ---- | C] () -- C:\WINDOWS\Sandboxie.ini
[2010.10.31 15:42:24 | 001,658,880 | ---- | C] () -- C:\Programme\MBSASetup-x86-DE.msi
[2010.10.31 12:29:06 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

< End of report >
--- --- ---


und hier dann Malwarebytes:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5766

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.02.2011 08:18:19
mbam-log-2011-02-15 (08-18-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|)
Durchsuchte Objekte: 235823
Laufzeit: 33 Minute(n), 53 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

So - dann bin ich mal gespannt!


Alt 15.02.2011, 19:34   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Log ist unauffällig.
Warum du gerade GMER am Anfang ausgeführt wundert mich immer noch ein wenig, da die Einleitung für alle Hilfesuchenden KEIN GMER erwähnt, aber nun gut.

Weitere Log von MBAM gibt es nicht? MBAM hat auch noch nie etwas bei dir gefunden?
Ich halte zwar nicht viel von Ad-Aware, aber von allein sollte es sich nicht beenden. Neuinstallation von Ad-Aware schon mal probiert?
__________________
--> Fragliches Rootkit? oder Fehlalarm?

Alt 16.02.2011, 14:12   #7
eine
 
Fragliches Rootkit? oder Fehlalarm? - Standard

Fragliches Rootkit? oder Fehlalarm?


Vielen vielen Dank!

Adaware hab ich noch nicht deinstalliert, werd ich aber noch tun.
Andere MBAM hab ich nicht mehr.

Antwort

Themen zu Fragliches Rootkit? oder Fehlalarm?
abstürze, adaware, arbeitet, assembly, befall, black, boot, c:\windows, dankbar, datei, devices, embedded, fehlalarm, funde, gmer, kernel, malwarebytes, not, rechner, revealer, rootkit, rootkit?, scan, schaltet, secrets, security, system32


« System tool kann ich nicht entfernen | Internet Explorer öffnet sich von selbst und zeigt Werbung an »


Ähnliche Themen: Fragliches Rootkit? oder Fehlalarm?


  1. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 26.03.2015 (3)
  2. AVAST: Rootkit-Warnung bei Windows Update oder Fehlalarm ?
    Log-Analyse und Auswertung - 19.04.2013 (2)
  3. Whistler A im MBR, oder Fehlalarm von NOD 32 ?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (1)
  4. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2012 (25)
  5. BKA-Trojaner oder nur Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 14.03.2012 (0)
  6. avast! findet Rootkit - Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 07.10.2011 (1)
  7. Fehlalarm oder echt
    Plagegeister aller Art und deren Bekämpfung - 15.07.2009 (1)
  8. Trojaner oder Fehlalarm? :O
    Log-Analyse und Auswertung - 11.02.2009 (2)
  9. Fehlalarm oder virus
    Plagegeister aller Art und deren Bekämpfung - 27.10.2008 (8)
  10. IE7 vs Ebay oder Fehlalarm?
    Alles rund um Windows - 16.06.2008 (1)
  11. Trojaner oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 05.03.2008 (1)
  12. Malware oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 27.11.2007 (12)
  13. Problem oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 15.09.2007 (8)
  14. Befall durch Rootkit oder Fehlalarm?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2006 (17)
  15. Fehlalarm oder nicht?
    Log-Analyse und Auswertung - 23.04.2006 (6)
  16. Fehlalarm oder nicht?
    Mülltonne - 18.04.2006 (0)
  17. Trojaner, oder Fehlalarm ?
    Plagegeister aller Art und deren Bekämpfung - 31.05.2005 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Fragliches Rootkit? oder Fehlalarm? - Hallo, ich weiss nicht ganz, was ich von diesen "Funden" von GMER udn RootkitRevealer halten soll - ist es nun ein Befall, oder nicht? Mein Rechner arbeitet ansonsten vollkommen normal - Fragliches Rootkit? oder Fehlalarm?...
Archiv
Du betrachtest: Fragliches Rootkit? oder Fehlalarm? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55