Rootkit
 

Hallo zusammen!

Ich habe mit dem rootkitrevealer etwas verdächtiges (hidden from windows api) in der registry gefunden.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGÿCY_POLICYAGENT

ich kann nicht darauf zugreifen, auch nicht im abgesicherten modus.

was ich komisch finde dass der registry eintrag kein LegAcy eintrag ist sondern Legÿcy mit 2 punkten auf dem y. Ist also kein schreibfehler.

Blacklight findet nichts. Hijack.this ist auch i.o...

Weiß jemand was das ist?

Danke

Hallo. :)

Lade dir dieses Tool -> FixWareout.exe

Speichere es auf deinem Desktop. Klicke dann auf "Next" > "Install" > achte darauf dass ein Häkchen sitzt bei "Run fixit"
klicke dann auf "Finish".

Der Fix wird nun starten, folge den Hinweisen. Du wirst gefragt, den Rechner neu aufzustarten (reboot), mach das bitte.
Dein System wird länger dazu brauchen als sonst, das ist normal.

Dann das erstelle Logfile posten!

Zusätzlich bitte auch ein Hijacklog, Anleitung in meiner Signatur verlinkt. ;)

Gruß
Sunny

Der link für die FixWareout.exe geht leider nicht...

FixWareout-log:


Fixwareout
Last edited 1/14/2006
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values
»»»»» System restarted
...
Reg Entries that were deleted
...
Random Runs removed from HKLM
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.

»»»»» Checking for older varients covered by the Rem3 tool.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"system"=""
»»»»»



Hijack-this log:

Logfile of HijackThis v1.99.1
Scan saved at 11:44:07, on 21.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
d:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [KernelFaultCheck] C:\WINDOWS\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\RunServices: [Cleanup] "D:\Programme\Complete Cleanup Trial\compind.bat"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NQPHTBQKU - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\NQPHTBQKU.exe
O23 - Service: PDAgent - Raxco Software, Inc. - d:\Programme\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - d:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - d:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

Also bei mir geht der Link... ;) Aber du hast ja einen neuen gefunden.

Mach bitte folgendes:

F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

black-light log:

01/21/07 12:01:47 [Info]: BlackLight Engine 1.0.55 initialized
01/21/07 12:01:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/21/07 12:01:47 [Note]: 7019 4
01/21/07 12:01:47 [Note]: 7005 0
01/21/07 12:08:09 [Note]: 7006 0
01/21/07 12:08:09 [Note]: 7011 1880
01/21/07 12:08:15 [Note]: 7026 0
01/21/07 12:08:16 [Note]: 7026 0
01/21/07 12:08:23 [Note]: FSRAW library version 1.7.1021
01/21/07 12:09:53 [Note]: 2000 1012
01/21/07 12:09:59 [Note]: 7007 0


escan folgt....

Also das ganze log ist doch zuviel oder?

ich denke bei 0-0-0-0-0-0-0 reicht doch auch das.


Sun Jan 21 12:35:38 2007 => ***** Scanning complete. *****

Sun Jan 21 12:35:38 2007 => Total Objects Scanned: 22931
Sun Jan 21 12:35:39 2007 => Total Critical Objects: 0
Sun Jan 21 12:35:39 2007 => Total Disinfected Objects: 0
Sun Jan 21 12:35:39 2007 => Total Objects Renamed: 0
Sun Jan 21 12:35:39 2007 => Total Deleted Objects: 0
Sun Jan 21 12:35:39 2007 => Total Errors: 0
Sun Jan 21 12:35:39 2007 => Time Elapsed: 00:00:55
Sun Jan 21 12:35:39 2007 => Virus Database Date: 1/21/2007
Sun Jan 21 12:35:39 2007 => Virus Database Count: 260397

Sun Jan 21 12:35:39 2007 => Scan Completed.

Also alle bisherigen Scans waren alle negativ, somit würde ich sagen das bei dir kein Rootkit erstellt bzw. aktiv ist.

Hat Rootkitrevealer den EIntrag gelöscht, oder besteht er immer noch?

Sunny

wie kann ich denn mit dem rootkitrevealer was löschen?

ich dachte der ist nur zum scannen.

kennt jemand ein tool mit dem man "hidden from windows api" Registry-einträge entfernen kann?

habs im abgesicherten modus versucht, aber da hab ich auch keinen zugriff drauf.