|
Brauche Hilfe zu Log File RootkitRevealer Hi Leute zunächst Hallo alle zusammen, Ich bin der neue mit einem Problem wobei ich ein wenig Hilfe gebrauchen kann. ich habe mir den Rootkit Revealer runtergeladen , da ich den Verdacht habe, dass mit meinem PC etwas nicht stimmt. der RootkitRevealer hat auch 4 Sachen gefunden, die ich selber nicht kenne und beim Googlen keine Informationen dazu gefunden habe. ich weiss, das es in diesem Forum um Hijackthis dreht, aber vielleicht erbarmt sich ein er vone euch mir auf die Sprünge zuhelfen. LOGFILE RookitRevealer ---------------------- HKLM\SOFTWARE\Microsoft\SystemCertificates\SPC\Certificates\63079CF85654996380B663ED55AD8BD0B53FC241\Blob 14.07.2006 10:26 1.11 KB Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 25.05.2006 12:38 0 bytes Access is denied. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP6\PdmHist\c94.D011AA6201C6A71F.history\00000000.bak 14.07.2006 10:32 4.00 MB Hidden from Windows API. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 12.07.2006 20:50 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 12.07.2006 20:50 111.50 KB Visible in Windows API, but not in MFT or directory index. Danke euch allen |
@candelaver Hallo, erstell als erstes mal ein HijackThis, dann nutze zusätzlich F-Secure Blacklight und anschliessend einen eScan! Wenn du alle Logs postest, kann man vielleicht mehr dazu sagen.. (wie kommst du eigentlich darauf das gerade du infiziert bist, und dann noch vor allem mit einem "Rootkit"?) Gruß Daniel |
@Sunny Danke dir für den Tip. Die logs folgen. |
@sunny anbei auszüge aus dem Logfile von eScan. habe den Rechner komplett gescannt, nur 2 Sachen wurden gefunden. eScan Logfile - Auszug ---------------------- Sat Jul 15 09:45:42 2006 => ERROR!!! Invalid Entry \??\C:\WINDOWS\system32\PavSRK.sys in SYSTEM\CurrentControlSet\Services\PavSRK.sys... Sat Jul 15 09:45:32 2006 => ***** C:\WINDOWS\System32\Drivers\dtscsi.sys File Locked!!! Scanning may fail... Sat Jul 15 09:45:47 2006 => ***** Scanning Registry and File system for Adware/Spyware ***** Sat Jul 15 09:45:47 2006 => Loading Spyware Signatures from new External Database (Size: 161733). Sat Jul 15 09:45:49 2006 => Indexed Spyware Databases Successfully Created... Sat Jul 15 09:45:58 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\emule Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken. Sat Jul 15 09:46:06 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\emule Sat Jul 15 09:46:06 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken. rest folgt |
HijackThis Logfile ---------------------- Logfile of HijackThis v1.99.1 Scan saved at 18:31:46, on 15.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\eigene\totalcmd\TOTALCMD.EXE C:\WINDOWS\system32\cmd.exe C:\Programme\eigene\Firefox\firefox.exe C:\Programme\eigene\FlashFXP\flashfxp.exe C:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Adobelm_Cleanup.0001 C:\WINDOWS\system32\mmc.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_tc\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\eigene\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [kav] "C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\eigene\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\eigene\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: apm - SAW control service (apmSAWCtrl) - abylonsoft - Dr. Thomas Klabunde GbR - C:\Programme\eigene\abylonsoft\SAWipe\SAWCtrlSer.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: BV - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\BV.exe O23 - Service: M - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\M.exe O23 - Service: SQL Server-Volltextsuche (SQLBASE) (msftesql$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe" -s:MSSQL.1 -f:SQLBASE (file missing) O23 - Service: SQL Server (SQLBASE) (MSSQL$SQLBASE) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLBASE (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Also das Hijacklog sieht meiner Ansicht nach sauber aus. :daumenhoc Nur bei deinem eScan habe ich einen Verdacht: Zitat:
Diese Datei hingegen: Zitat:
(z.B. für Festplatten) Zitat:
|
@Sunny ich würde noch gerne über deinen Verdacht von dir lesen, da mich diese Thematik brennend Interessiert. egal, was ich ich noch im Nachhinein versucht hatte, die Internetleistung ging immer wieder rapide in den Keller. ich habe mich dazu entschieden, den Rechner neu aufzusetzen. Jedenfalls ist dieses Board Klasse und ich werde hier eine Menge dazulernen, um meinem REchner sicherer zu machen. dir ein dickes Dankeschön für deine Hilfe. Gruss Candelaver |
@SUnny ist reine Vermutung. Mein Internet 6 Mbit ist so lahmarschig geworden, das eben etwas nciht stimmen kann. Inzwischen habe ich mein Sstem neu aufgesetzt und wieder nix. ich habe ISH als Provider und ich hatte die ganze Zeit ein Höllentempo gehabt. Seit ca. 10 Tagen Pustekuchen, es wird immer lahmer. komisch ist es vorallem, das es jetzt bei einem Neuinstalliertem Rechner auch so ist. mfg Candelaver |
@SUnny ist reine Vermutung. Mein Internet 6 Mbit ist so lahmarschig geworden, das eben etwas nciht stimmen kann. Inzwischen habe ich mein Sstem neu aufgesetzt und wieder nix. ich habe ISH als Provider und ich hatte die ganze Zeit ein Höllentempo gehabt. Seit ca. 10 Tagen Pustekuchen, es wird immer lahmer. komisch ist es vorallem, das es jetzt bei einem Neuinstalliertem Rechner auch so ist. mfg Candelaver Hijack This Log --------------- Logfile of HijackThis v1.99.1 Scan saved at 11:48:09, on 16.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\PROGRA~1\EIGENE\FIREFOX\FIREFOX.EXE C:\Programme\eigene\FlashFXP\flashfxp.exe C:\DOKUME~1\Donny\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe O4 - HKLM\..\Run: [kav] "C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1293E535-D4A9-4DF4-A155-C9F0DEFCCA91}: NameServer = 192.168.235.1 O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\eigene\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) ------------------------------------------------------- |
Teste deine Verbindung mal hier --> http://www.wieistmeineip.de/speedtest/ Ansonsten wende dich mal an deinen Service Provider. Hatte das gleiche Problem, hab den DSL4000 Turbo, und einen Download von maximal 250kb/s, also rief ich bei meinem ISP an, man sagte mir "huuuch", sie stehen hier nur mit DSL2000 Turbo drinnen, wir schalten ihnen mal eben einen Port noch frei!!! Schon hatte ich nen Download von 480kb/s ... :headbang: Gruß Daniel |
habe mich heute mit ISH auseinander gesetzt. Die leitung ist 6 Mbit und soll nach Fernüberprüfung in Ordnung sein. Sowohl Notebook (Wlan) und PC sind lahmarschig im Internet. Der PC und das Notoebook sind neu aufgesetzt somit kaum Ballast und unnötiges Zeugs ausser Microsoft :-). Morgen früh soll eich Techniker hier Vorort nach sehen und mal die Leitung testen. |
@Daniel Jepp, es war so ähnlich, es lag an meinem Anbieter. die haben durch einen Montage Fehler einen Leistungsabfall gehabt. Die habe heute diesen Fehler behoben und sieh da :-) mfg Candelaver |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board