Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rootkit bzw. Trojaner noch auf der Platte? (https://www.trojaner-board.de/47913-rootkit-bzw-trojaner-noch-platte.html)

MightyStar 08.01.2008 10:14
Rootkit bzw. Trojaner noch auf der Platte?
 
Einen wunderschönen guten Morgen,



Ich habe vorhin Kasperski gestartet und der hat ein Rootkit namens Rootkit.win32.jp gefunden und gelöscht.

Da ich mich allerdings nicht mit Viren und wie man sie löscht auskenne , weiß ich nicht ob dieser noch auf meiner Platte ist.

Falls ich noch weitere Viren auf der Festplatte habe möchte ich sie löschen und nicht mein System Formatieren da ich mich ein wenig mit der Materie "Viren" auseinander setzten möchte :) .


Ich habe hijackthis installiert.

Hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:02, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Razer\Krait\razerhid.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\programme\powerstrip\pstrip.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Razer\Krait\razerofa.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Mozilla Firefox 3 Beta 1\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\wz7f15\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Krait] C:\Programme\Razer\Krait\razerhid.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E6FFF10-34DB-41A8-9A7A-72D7B049B957}: NameServer = 195.50.140.252 195.50.140.114
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF12448D-3BF1-4024-A12F-7B4B17C1BE79}: NameServer = 192.168.122.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5605 bytes



Ich bin euch Dankbar, wenn ich mir weiterhelfen könntet.

Franz1968 08.01.2008 10:30
Hallo,

mit Hilfe deines Logfiles ist kein Befall zu identifizieren, was aber a) bei einem Rootkit auch nicht zu erwarten wäre und b) kein sauberes System garantiert. Im Gegenteil, dieser Eintrag
Zitat:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
deutet darauf hin, dass du schwerwiegende Probleme mit dem Rechner hast - es sei denn, du hättest den Registrierungseditor selbst deaktiviert. Hast du?

Wo, d.h. in welchem Pfad, hat Kaspersky ein rootkit gefunden?

Lade dir zunächst Blacklight herunter, lasse es scannen und poste den Report, zu finden unter c:\fsbl*******.log. Vielleicht lässt sich im Anschluss schon etwas sagen.

MightyStar 08.01.2008 10:48
Zunächsteinmal Danke für deine schnelle Antwort.


Nein ich habe den RegEditor nicht selbst deaktiviert.


C:\windows\system32\drivers\runtime2.sys zeigt mir Kaspersky an.


Ich lade mir Blacklight runter und schreibe anschließend das Logfile ins Forum.



EDIT:
01/08/08 10:48:29 [Info]: BlackLight Engine 1.0.67 initialized
01/08/08 10:48:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/08/08 10:48:30 [Note]: 7019 4
01/08/08 10:48:30 [Note]: 7005 0
01/08/08 10:48:33 [Note]: 7006 0
01/08/08 10:48:33 [Note]: 7011 1808
01/08/08 10:48:45 [Note]: 7026 0
01/08/08 10:48:46 [Note]: 7026 0
01/08/08 10:48:50 [Note]: FSRAW library version 1.7.1024
01/08/08 10:49:34 [Info]: Hidden file: c:\WINDOWS\system32\drivers\runtime2.sys
01/08/08 10:49:34 [Note]: 7002 0
01/08/08 10:49:34 [Note]: 7003 1
01/08/08 10:49:34 [Note]: 10002 1
01/08/08 10:50:48 [Note]: 7007 0

MightyStar 08.01.2008 13:09
mir kann auch jemand anderes helfen immerhin 30 leute die sich den Thread angeguckt haben :D:D:D:D

blow-in 08.01.2008 13:21
Wenn es schnell gehen soll, musst du deinen Rechner Neu aufsetzen. Bei einem Rootkidbefall kann man nicht sagen, welche Hintertüren aufgemacht wurden und ob deine Passwörter geklaut wurden. Es könnte ja auch ein Bereich für illegale Dateiablagen geschaffen worden sein.
Du tust auch der übrigen Internetgemeinschaft einen Gefallen, wenn du Neu aufsetzt. Damit ist jedenfalls die Gefahr, dass du einen Zombirechner am Leben hälst erst einmal gebannt.

MightyStar 08.01.2008 13:43
Zitat:
Zitat von blow-in (Beitrag 314631)
Wenn es schnell gehen soll, musst du deinen Rechner Neu aufsetzen. Bei einem Rootkidbefall kann man nicht sagen, welche Hintertüren aufgemacht wurden und ob deine Passwörter geklaut wurden. Es könnte ja auch ein Bereich für illegale Dateiablagen geschaffen worden sein.
Du tust auch der übrigen Internetgemeinschaft einen Gefallen, wenn du Neu aufsetzt. Damit ist jedenfalls die Gefahr, dass du einen Zombirechner am Leben hälst erst einmal gebannt.
ich wusste ja nciht das ich eine gefahr für andere Leute bin !
dann werde ich den rechner jetzt doch formatieren schade.

Danke für die antworten!:)

-SkY- 08.01.2008 15:19
Hier ist übrigens eine Anleitung wie man sich danach auch absichert, nicht damit du morgen wieder auchtauchst ;)

http://www.trojaner-board.de/12154-a...sicherung.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55