Trojaner-Board - Fragwürdige Datei "phunter"

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Fragwürdige Datei "phunter" (https://www.trojaner-board.de/65492-fragwuerdige-datei-phunter.html)

Fragwürdige Datei "phunter"

Hallo,

da ich hier am verzweifeln bin würde ich euch gerne um Hilfe bitte. Es handelt sich über die Datei "phunter". Ich gehe mal star davon aus das es zu einem Programm gehört, leider kann ich diese Datei nicht auf meinem PC ausfindig machen. Sie wird weder über Autostarteinträge geladen noch über sonstiges sie ist ausschliesslich sichtbar wenn man unter Gerätemanager die ausgeblendeten Datein anzeigen lässt dort findet man diese als aktiv, jedoch ohne weitere Informationen. Scans mit verschiedenen Antivirentools oder Idendifikationsprogrammen brachten mir auch kein Ergebnis. Der einzigste Eintrag liegt in der Registry. Google brachte auch keine Ergebnisse usw. Hier die Infos:

Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:05:27, on 30.11.2008

Platform: Windows XP SP3 

MSIE: Internet Explorer v7.00

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\UPHClean\uphclean.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\COMODO\COMODO Internet Security\cfp.exe

C:\Programme\Orbitdownloader\orbitdm.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Downloads\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Programme\KeyScrambler\KeyScramblerIE.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Programme\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll

O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Programme\KeyScrambler\KeyScramblerIE.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227921770437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227893590687

O17 - HKLM\System\CCS\Services\Tcpip\..\{68C6F781-FA7A-4BE3-A8D4-0FBFA23339EE}: NameServer = 192.168.2.1

O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 5403 bytes

Und hier der Registry Schlüssel:

Code:

Windows Registry Editor Version 5.00
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER]

"NextInstance"=dword:00000001
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000]

"Service"="phunter"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="phunter"

"Capabilities"=dword:00000000

"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0004"
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\LogConf]
 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_PHUNTER\0000\Control]

vielen Dank

Also ich kann in deinem Hjt-Logfile nichts besonderes finden was auf eine bösartige Datei hinweist. Du kannst ja mal eine Antimalwaresoftware drüberlaufen lassen. Download hier

Gruß Lumitu

Hallo,

Ja das habe ich alles bereits hinter mir. Malwarebytes Anti Malwarew usw. gefunden wird nichts, dennoch wüsste ich gerne was das für ein Treiber ist wie gesagt es ist mit keiner Hardware verankert oder ähnliches abert trotzdem aktiv.

Gruss

Zitat:

Zitat von josy1982 (Beitrag 395958)

leider kann ich diese Datei nicht auf meinem PC ausfindig machen.

Das nennt sich Rootkit.

Zitat:

Google brachte auch keine Ergebnisse usw.

Weil du nach dem Namen gesucht hast. Hättest du nach
8ECC055D-047F-11D1-A537-0000F8753ED1 gesucht, dann könntest du hier landen. Wenn du dort auf Technical Details klickst, weißt du auch, warum du nichts gefunden hast. Der Name wird zufällig generiert.

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden.

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe.

4.) Blacklight ausführen und Logfile posten.

5.) Lade CatchMe auf deinen Desktop und starte es. Klick auf Scan. Wenn der Scan vorbei ist, poste die Datei catchme.log hier.

Danach sehen wir weiter.

ciao, andreas

Hallo,

vielen Dank für die Antwort hier die logs. Bl geht bei mir irgendwie nicht der Treiber kann nicht geladen werde.

Zitat:

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 21:42:37
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Zitat:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

grüsse

Lass noch einmal mbam laufen und poste das Log:
http://www.trojaner-board.de/51187-a...i-malware.html

Reinige anschliessend die Registry mit CCleaner:
http://www.trojaner-board.de/51464-a...-ccleaner.html

Hallo,

habe geschafft BL zum laufen zu bringen und gleich auch nochmal mbam log.

Zitat:

11/30/08 21:52:19 [Info]: BlackLight Engine 2.2.1092 initialized
11/30/08 21:52:19 [Info]: OS: 5.1 build 2600 (Service Pack 3)
11/30/08 21:52:19 [Note]: 7019 4
11/30/08 21:52:19 [Note]: 7005 0
11/30/08 21:52:27 [Note]: 7006 0
11/30/08 21:52:27 [Note]: 7011 660
11/30/08 21:52:27 [Note]: 7035 0
11/30/08 21:52:27 [Note]: 7026 0
11/30/08 21:52:28 [Note]: 7026 0
11/30/08 21:52:29 [Note]: FSRAW library version 1.7.1024
11/30/08 21:57:29 [Note]: 7007 0

Zitat:

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1439
Windows 5.1.2600 Service Pack 3

30.11.2008 22:03:31
mbam-log-2008-11-30 (22-03-31).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48405
Laufzeit: 3 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo,

CCleaner habe ich nun auch hinter mich gebracht. Soll ich nun die Prüfungen wieder durchführen?

Gruß josy

Ist der Eintrag denn noch da? Es ist kein Rootkit, sondern nur ein verwaister Registryeintrag.

Hallo,

ja ist er er ist ein geladener Treiber und aktiv weiterhin im Gerätemanager zu sehen und in der Registry.

lg

Da du fit genug bist ihn zu finden, bist du auch fit genug ihn von Hand zu entfernen:

1. Systemwiederherstellung deaktivieren
2. Start => Ausführen => regedit => OK
3. [Strg]f
4. LEGACY_PHUNTER[Enter]
5. [Entf] (sollte eine Sicherheitsabfrage kommen, dann Ja klicken)
6. [Pos1]

Jetzt bei 3. wieder anfangen und erst aufhören wenn die Meldung kommt (sinngemäß): Keine weiteren Treffer gefunden.

Neustart, Kontrolle ob Einträge verschwunden sind, falls ja, Systemwiederherstellung aktivieren und neuen Wiederherstellungswert setzen.

Du hast mich mit Titel des Threads in die Irre geführt. Ich war die ganze Zeit auf der Suche nach einer Datei. Die hast du aber schon längst gelöscht, was übrig blieb, sind die verwaisten Registryeinträge.

ciao, andreas

Hallo,

danke dir herzlichst. Habe die Schritte befolgt und entfernen können.

Vielen Dank lg josy