Hatte Rootkit, PC wieder sauber?
 

Hallo,

hatte mir einen Rootkit-Virus eingefangen. Hab ihn mit dem Programm "unhackme" entfernt. Würde aber gerne wissen, ob mein PC wirklich wieder sauber ist. Hab mal HijackThis laufen lassen, mit folg. Ergebnis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:15, on 07.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe Version Cue CS3 {de_DE} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 6432 bytes

Hallo,

Rootkits sieht man nicht mit "herkömmlichen" Tools wie Hijackthis. Das ist Sinn und Zweck von Rootkits :rolleyes:

Poste bitte entsprechende Logfile bzw. den Namen des Rootkits. Mach auch einen Durchgang mit GMER und poste auch das Log.

Hallo,

wusste garnicht, dass HijackThis ein "herkömmliches" Tool ist. In Foren heißt es ja immer, dass man bei Verdacht auf Virenbefall o.ä. HijackThis laufen lassen soll. Naja, hab jetzt nen Durchlauf mit GMER gemacht. Der Rootkit hieß übrigens "siszyd32". Keine Ahnung, ob das der richtige Name ist, hatte jedenfalls ne "siszyd32.exe" auf dem Rechner.

Und hier das Log von GMER:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-08 19:31:59
Windows 5.1.2600 Service Pack 3
Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7BEA186 ZwCreateKey
SSDT F7BEA17C ZwCreateThread
SSDT F7BEA18B ZwDeleteKey
SSDT F7BEA195 ZwDeleteValueKey
SSDT F7BEA19A ZwLoadKey
SSDT F7BEA168 ZwOpenProcess
SSDT F7BEA16D ZwOpenThread
SSDT F7BEA1A4 ZwReplaceKey
SSDT F7BEA19F ZwRestoreKey
SSDT F7BEA190 ZwSetValueKey
SSDT F7BEA177 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.pak2 C:\WINDOWS\system32\drivers\wkuvah.sys entry point in ".pak2" section [0xF7421168]
? C:\WINDOWS\system32\drivers\wkuvah.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F7247E55 4 Bytes CALL 863BF6F9

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 863C8B28

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs A9548400

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] wkuvah <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\wkuvah@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\wkuvah@Group Boot Bus Extender

---- EOF - GMER 1.0.15 ----

Herkömmlich deswegen, weil es nicht für die Rootkiterkennung konzipiert wurde!
Da ist anscheinend immer noch ein Rootkit aktiv:

Hast Du eine Windows-CD oder Linux-Live-CD am da?

Linux-CD hab ich keine. Was soll ich denn tun?

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 90 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://www.raiden.net/images/article...tedmagic40.jpg

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partition wo Windows installiert ist, meistens isses /dev/sda1
6. Benenne auf sda1 die Datei /windows/system32/drivers/wkuvah.sys um in wkuvah.bad
7. Starte den Rechner neu und boote Windows
8. Die in Linux umbenannte Datei bei Virustotal.com auswerten lassen und Ergebnislink posten
9. Einen neuen Durchlauf mit GMER machen und Log posten

Hier der Ergebnislink von Virustotal:

Virustotal. MD5: a5e7a32a05af52b5807038a24c8b97e0 Hacktool.Rootkit Rootkit.Kryptic.763904 Rootkit.Agent.AJCN

Und hier das Ergebnis des GMER-Durchlaufs:

GMER 1.0.15.15281 - ***.gmer.net
Rootkit scan 2010-01-10 15:31:24
Windows 5.1.2600 Service Pack 3
Running: 1uhrx54k.exe; Driver: C:\DOKUME~1\...\LOKALE~1\Temp\uwlcrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7C2ECD6 ZwCreateKey
SSDT F7C2ECCC ZwCreateThread
SSDT F7C2ECDB ZwDeleteKey
SSDT F7C2ECE5 ZwDeleteValueKey
SSDT F7C2ECEA ZwLoadKey
SSDT F7C2ECB8 ZwOpenProcess
SSDT F7C2ECBD ZwOpenThread
SSDT F7C2ECF4 ZwReplaceKey
SSDT F7C2ECEF ZwRestoreKey
SSDT F7C2ECE0 ZwSetValueKey
SSDT F7C2ECC7 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 24EC 80501D14 4 Bytes JMP 8EF7C2EC

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs A9F8B400

---- EOF - GMER 1.0.15 ----

Ah sehr schön, dann hat das Umbenennen ja geklappt! :daumenhoc
Die Rootkiteinträge sind im letzten GMER-Log jedenfalls nicht mehr zu sehen :)

Mach nun mal bitte noch einen vollständigen Durchlauf mit Malwarebytes und poste das Log. Achte auf aktuelle Signaturen.

Puh, das war jetzt ein ganz schönes Geduldspiel:

Während Malwarebytes lief, kam zweimal Virenalarm. Dann kam, nachdem ich die von Malwarebytes gefunden Objekte gelöscht hatte, bei dem notwendigen Neustart ne Rootkitmeldung von "unhackme". Nach einem erneuten Neustart war sie plötzlich wieder weg. Hab dann nochmal GMER laufen lassen. Hier war alles sauber. Anschließend mit Virenscanner System gecheckt, auch kein Fund. Erneut Malwarebytes laufen lassen und es wurden wieder infizierte Objekte gemeldet. Verwirrend ist, dass es sich hier um Registry-Einträge handelt. Und wenn ich die richtig interpretiere, dann sind dies die Disable-Kennungen aus dem Sicherheitscenter. Hab nämlich die Warnmeldungen für Virenscanner und Autom. Updates ausgeschaltet.

Hier mal die Logs der Malwarebytes-Durchläufe:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.01.2010 16:16:51
mbam-log-2010-01-10 (16-16-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 201501
Laufzeit: 25 minute(s), 5 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\wkuvah.bad (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\...\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

10.01.2010 19:23:45
mbam-log-2010-01-10 (19-23-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 201442
Laufzeit: 24 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und nun bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

So, hier das Log von ComboFix:

ComboFix 10-01-04.01 - ... 10.01.2010 22:03:16.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1014.595 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\...\Desktop\flips.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((( Dateien erstellt von 2009-12-10 bis 2010-01-10 ))))))))))))))))))))))))))))))
.

2010-01-10 20:47 . 2010-01-10 20:47 -------- d-----w- c:\programme\CCleaner
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-10 14:46 . 2010-01-10 14:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2010-01-10 14:46 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-07 17:47 . 2010-01-07 17:47 -------- d-----w- c:\programme\Trend Micro
2010-01-07 17:09 . 2008-04-14 06:52 116736 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll
2010-01-07 17:09 . 2008-04-14 06:52 19456 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll
2010-01-07 17:09 . 2001-08-18 03:54 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll
2010-01-07 17:09 . 2001-08-18 03:55 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe
2010-01-07 17:09 . 2001-08-18 03:55 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe
2010-01-07 17:09 . 2001-08-18 03:55 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe
2010-01-07 17:07 . 2001-08-17 11:13 19016 -c--a-w- c:\windows\system32\dllcache\w926nd.sys
2010-01-07 17:06 . 2008-04-13 23:15 32128 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-07 17:05 . 2001-08-18 03:52 440576 -c--a-w- c:\windows\system32\dllcache\tridkb.dll
2010-01-07 17:04 . 2001-08-17 11:50 36640 -c--a-w- c:\windows\system32\dllcache\t2r4mini.sys
2010-01-07 17:03 . 2001-08-18 03:54 99328 -c--a-w- c:\windows\system32\dllcache\srusd.dll
2010-01-07 17:02 . 2001-08-18 03:54 45568 -c--a-w- c:\windows\system32\dllcache\smb3w.dll
2010-01-07 17:01 . 2001-08-17 11:51 98080 -c--a-w- c:\windows\system32\dllcache\sgiulnt5.sys
2010-01-07 17:00 . 2001-08-18 03:52 62496 -c--a-w- c:\windows\system32\dllcache\s3mtrio.dll
2010-01-07 16:59 . 2001-08-18 03:33 899658 -c--a-w- c:\windows\system32\dllcache\r2mdkxga.sys
2010-01-07 16:58 . 2001-08-17 13:04 92416 -c--a-w- c:\windows\system32\dllcache\phildec.sys
2010-01-07 16:57 . 2001-08-17 13:05 31872 -c--a-w- c:\windows\system32\dllcache\ovce.sys
2010-01-07 16:56 . 2001-08-18 03:26 65406 -c--a-w- c:\windows\system32\dllcache\netflx3.sys
2010-01-07 16:55 . 2008-04-13 23:16 49024 -c--a-w- c:\windows\system32\dllcache\mstape.sys
2010-01-07 16:54 . 2001-08-17 12:52 7424 -c--a-w- c:\windows\system32\dllcache\mammoth.sys
2010-01-07 16:53 . 2001-08-18 03:53 8192 -c--a-w- c:\windows\system32\dllcache\kbdkor.dll
2010-01-07 16:52 . 2001-08-18 03:53 372824 -c--a-w- c:\windows\system32\dllcache\iconf32.dll
2010-01-07 16:51 . 2001-08-17 12:28 44863 -c--a-w- c:\windows\system32\dllcache\hsf_soar.sys
2010-01-07 16:50 . 2008-04-13 23:15 19200 -c--a-w- c:\windows\system32\dllcache\hidir.sys
2010-01-07 16:49 . 2001-08-17 11:11 11850 -c--a-w- c:\windows\system32\dllcache\f3ab18xj.sys
2010-01-07 16:48 . 2001-08-17 11:10 69692 -c--a-w- c:\windows\system32\dllcache\el575nd5.sys
2010-01-07 16:47 . 2001-08-18 03:53 112128 -c--a-w- c:\windows\system32\dllcache\dc260usd.dll
2010-01-07 16:46 . 2001-08-17 11:13 46108 -c--a-w- c:\windows\system32\dllcache\cben5.sys
2010-01-07 16:45 . 2001-08-17 11:49 17152 -c--a-w- c:\windows\system32\dllcache\atitunep.sys
2010-01-07 16:44 . 2001-08-18 03:52 66048 -c--a-w- c:\windows\system32\dllcache\s3legacy.dll
2010-01-07 16:44 . 2008-04-14 06:29 2147840 -c--a-w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-01-06 19:00 . 2010-01-06 19:00 -------- d-----w- c:\windows\RestoreSafeDeleted
2010-01-06 18:49 . 2010-01-06 18:49 24416 ----a-w- c:\windows\system32\drivers\regguard.sys
2010-01-06 18:45 . 2010-01-06 18:45 2 --shatr- c:\windows\winstart.bat
2010-01-06 18:45 . 2010-01-06 18:45 35040 ----a-w- c:\windows\system32\Partizan.exe
2010-01-06 18:45 . 2010-01-06 18:45 34760 ----a-w- c:\windows\system32\drivers\Partizan.sys
2010-01-06 18:45 . 2009-12-22 13:38 12752 ----a-w- c:\windows\system32\drivers\UnHackMeDrv.sys
2010-01-06 18:45 . 2010-01-06 18:45 -------- d-----w- c:\programme\UnHackMe
2010-01-06 14:26 . 2006-05-24 12:36 110592 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3\temp\cleanup.exe
2010-01-06 09:58 . 2010-01-08 23:22 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\U3
2009-12-25 19:10 . 2009-02-18 01:49 58536 ----a-w- c:\windows\system32\drivers\SE1008mdm.sys
2009-12-25 19:10 . 2009-12-25 19:10 -------- d-----w- c:\programme\Sony Ericsson
2009-12-24 23:15 . 2009-12-24 23:15 -------- d-----w- c:\dokumente und einstellungen\...\.dvdcss
2009-12-24 23:14 . 2009-12-24 23:15 -------- d-----w- c:\programme\DVD Audio Extractor
2009-12-21 18:06 . 2009-12-25 19:31 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\vlc
2009-12-21 18:04 . 2009-12-21 18:04 -------- d-----w- c:\programme\VideoLAN
2009-12-21 17:53 . 2009-12-24 23:06 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\dvdcss

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-06 15:15 . 2009-10-30 20:51 -------- d-----w- c:\programme\Opera
2009-12-07 21:20 . 2009-10-30 21:36 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-03 18:45 . 2009-12-03 18:45 162432 ----a-w- c:\windows\system32\drivers\ITHSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 12032 ----a-w- c:\windows\system32\drivers\LILSGT.del
2009-12-03 18:45 . 2009-12-03 18:45 8854 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Uninstall_Fahrenheit_8C2B6FBDC8D14FA595F7B3231B7D8CBC.exe
2009-12-03 18:45 . 2009-12-03 18:45 45056 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\Fahrenheit.exe_BA10AC78E68745238B93540428FC256F.exe
2009-12-03 18:45 . 2009-12-03 18:45 10134 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{BA10AC78-E687-4523-8B93-540428FC256F}\ARPPRODUCTICON.exe
2009-12-03 18:39 . 2009-12-03 18:39 -------- d-----w- c:\programme\Atari
2009-12-03 18:38 . 2009-10-30 20:32 -------- d-----w- c:\programme\Gemeinsame Dateien\InstallShield
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brownie
2009-12-01 22:19 . 2009-12-01 22:19 -------- d-----w- c:\programme\Brother
2009-12-01 22:19 . 2009-12-01 22:19 34 ----a-w- c:\windows\system32\BD5240.DAT
2009-12-01 22:19 . 2009-10-30 20:32 -------- d--h--w- c:\programme\InstallShield Installation Information
2009-11-30 21:44 . 2009-11-01 13:48 -------- d-----w- c:\programme\Java
2009-11-30 21:44 . 2009-11-30 21:44 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-30 21:44 . 2009-11-30 21:44 79488 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-30 17:13 . 2009-11-30 17:13 -------- d-----w- c:\programme\IrfanView
2009-11-24 20:02 . 2009-11-14 15:46 -------- d-----w- c:\programme\AoA Audio Extractor
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\DivX
2009-11-18 20:13 . 2009-11-18 20:13 -------- d-----w- c:\programme\Gemeinsame Dateien\DivX Shared
2009-11-17 13:21 . 2009-11-17 13:21 48 ----a-w- c:\windows\wpd99.drv
2009-11-17 13:20 . 2009-10-30 18:24 22200 ----a-w- c:\dokumente und einstellungen\...\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-16 20:16 . 2009-11-16 20:11 -------- d-----w- c:\programme\A Tale of Two Kingdoms
2009-11-16 20:11 . 2009-11-16 20:11 286720 ----a-w- c:\windows\iun504.exe
2009-11-14 19:25 . 2009-11-14 19:25 286720 ----a-w- c:\windows\iun506.exe
2009-11-14 16:14 . 2009-11-14 16:14 40960 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\LPC210x_ISP.exe_B60B0D3157BA46A8AB5FD037240E063F.exe
2009-11-14 16:14 . 2009-11-14 16:14 151552 ----a-r- c:\dokumente und einstellungen\...\Anwendungsdaten\Microsoft\Installer\{B0BA3B99-16C9-4027-BEAE-4444E266749E}\ARPPRODUCTICON.exe
2009-11-14 16:14 . 2009-11-14 16:14 -------- d-----w- c:\programme\Philips Semiconductors
2009-11-14 14:14 . 2009-11-14 14:14 -------- d-----w- c:\programme\MSECache
2009-11-14 14:13 . 2009-11-14 14:13 77874 ----a-w- c:\windows\system32\pdfmona.dll
2009-11-14 14:13 . 2009-11-14 14:13 45300 ----a-w- c:\windows\system32\pdfmon.dll
2009-11-14 14:04 . 2009-11-14 14:04 -------- d-----w- c:\dokumente und einstellungen\...\Anwendungsdaten\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\programme\ibf
2009-11-14 14:03 . 2009-11-14 14:03 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ibf
2009-11-14 13:52 . 2009-11-14 13:52 -------- d-----w- c:\programme\Winamp
2009-11-14 00:47 . 2009-11-14 00:47 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx0c.dll
2009-11-14 00:47 . 2009-11-14 00:47 856064 ----a-w- c:\windows\system32\divx_xx07.dll
2009-11-14 00:47 . 2009-11-14 00:47 847872 ----a-w- c:\windows\system32\divx_xx0a.dll
2009-11-14 00:47 . 2009-11-14 00:47 843776 ----a-w- c:\windows\system32\divx_xx16.dll
2009-11-14 00:47 . 2009-11-14 00:47 839680 ----a-w- c:\windows\system32\divx_xx11.dll
2009-11-14 00:47 . 2009-11-14 00:47 696320 ----a-w- c:\windows\system32\DivX.dll
2009-11-01 13:47 . 2009-11-01 13:47 152576 ----a-w- c:\dokumente und einstellungen\...\Anwendungsdaten\Sun\Java\jre1.6.0_16\lzma.dll
2009-10-30 21:19 . 2009-10-30 21:19 0 ----a-w- c:\windows\nsreg.dat
2009-10-30 19:33 . 2009-10-30 18:14 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-30 18:23 . 2008-04-14 12:00 48156 ----a-w- c:\windows\system32\perfc007.dat
2009-10-30 18:23 . 2008-04-14 12:00 316594 ----a-w- c:\windows\system32\perfh007.dat
2009-10-30 18:11 . 2009-10-30 18:11 21740 ----a-w- c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UnHackMe Monitor"="c:\programme\UnHackMe\hackmon.exe" [2009-12-22 594144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\Winampa.exe" [2003-04-17 12288]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"SkyTel"="SkyTel.EXE" [2006-06-27 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-27 16248320]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-15 131072]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-15 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-15 159744]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2009-10-30 295606]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Avira\\AntiVir Desktop\\avcenter.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"c:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [30.10.2009 22:36 108289]
S0 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [06.01.2010 19:45 34760]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [06.01.2010 19:49 24416]
S3 SE1008mdm;Sony Ericsson SE1008 Mobile Device Full USB Driver;c:\windows\system32\drivers\SE1008mdm.sys [25.12.2009 20:10 58536]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - UnHackMeDrv
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
FF - ProfilePath - c:\dokumente und einstellungen\...\Anwendungsdaten\Mozilla\Firefox\Profiles\rw3hg9qw.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\DivX\DivX Plus Web Player\npdivx32.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-10 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2010-01-10 22:06:51
ComboFix-quarantined-files.txt 2010-01-10 21:06

Vor Suchlauf: 22 Verzeichnis(se), 24.618.278.912 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 24.590.880.768 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 3724254DA90559D657CF3B4B7A45194D

Ich hoffe, es gibt kein Problem, wenn ich die Wiederherstellungskonsole aus dem Systemstart (= Boot.ini) wieder rausschmeiße.

Jetzt dürfte es ok sein, das Rootkit ist auch weg. Wie Du siehst ist der zuverlässigste Ausweg bei besonders hartnäckigen Fällen nur noch ein Rettungssystem ;)

Wie verhält sich Dein Rechner nun? Noch Meldungen?

Unhackme meckert nun die Datei "catchme.sys" an. Gehört die zu ComboFix?

Der Rechner läuft schon normal, seit ich "siszyd32" entfernt hab. War mir aber nicht sicher, ob er wieder sauber ist. Naja, wie man sieht, war meine Vorsicht berechtigt. Auf jeden Fall schon mal ganz dickes Dankeschön für die Hilfe.

catchme.exe ist ein Teil von GMER, CF nutzt das aber auch. :)

Gut, dann kann ich ja jetzt wieder ruhig schlafen :D