Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit im System? Bitte mal anschauen! (https://www.trojaner-board.de/61370-rootkit-system-bitte-mal-anschauen.html)

Heinz IV 05.10.2008 17:23
Rootkit im System? Bitte mal anschauen!
 
Hallo Leute,
ich bin nicht gerade Experte!
Könnte sich das bitte mal einer anschauen?
Hier eine Logdatei von RootKitRevealer:

Code:
HKLM\SECURITY\Policy\Secrets\SAC*        04.09.2003 22:07        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        04.09.2003 22:07        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol        22.02.2006 19:44        13 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        05.10.2008 17:31        80 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg        15.01.2008 00:25        0 bytes        Access is denied.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\metrics.xml        05.10.2008 17:31        0 bytes        Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\parent.lock        05.10.2008 17:36        0 bytes        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\places.sqlite-journal        05.10.2008 17:40        56.61 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\sessionstore.js        05.10.2008 17:50        14.01 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\06D36E36d01        05.10.2008 17:44        42.17 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\7B403515d01        02.10.2008 14:55        19.65 KB        Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\8F78EAADd01        05.10.2008 17:37        38.70 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\A5836543d01        05.10.2008 17:46        29.28 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\ABE74DFDd01        05.10.2008 17:37        38.81 KB        Hidden from Windows API.
C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\g8oejr2l.default\Cache\C87015B9d01        05.10.2008 17:46        16.85 KB        Hidd
Danke schon mal für hilfreiche Kommentare!

Gruß Heinz

myrtille 05.10.2008 17:37
Hi,

ein paar Informationen zum Thema Betriebssystem und wieso du einen Rootkitscan gemacht hast, wären hilfreich.

Außerdem bitte den Rootkitscan nochmal wiederholen wenn du alle Programme beendet hast.

lg myrtille

Heinz IV 05.10.2008 18:14
Hallo
und Danke für die schnelle Antwort!
Also, ich hab diesen Test gemacht, weil ich vor einer Woche mehrere Trojaner ins System geladen habe. Dieser hat sich, denke ich, an eine Musikdatei gehängt und wurde über Windows Media Player aktiviert. Dann hatte ich die Datei "Codec_Setup.exe" auf meinem Desktop, bin sie aber nicht wieder losgeworden. Dann hab ich mir Hilfe im HiJackthis Forum geholt, hab verschiedene Prozesse durchlaufen, u.a. Malwarebytes, CCleaner, SmitFraudFix, etc. Aber als der 2. Schritt abgeschlossen war, habe ich keine Antwort mehr bekommen, seit 5 Tagen warte ich jetzt...
ich hoffe, das ist jetzt kein Problem für euch!
Naja, dann hab ich auf eigene Faust nochmal RootKitRevealer scannen lassen, um nach Rootkits zu schauen, nachdem ich heute wieder 2 Meldungen von Trojanerfunden bei AntiVirGuard hatte:


In der Datei 'C:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP4\A0000306.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen


In der Datei 'C:\WINDOWS\system32\tdssserf1.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.8704.76' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

Ich poste mal eine Hijackthis-Logfile mit, da ist das Betriebssytem ja beschrieben:


Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:50:57, on 05.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AudioSystem EWX 2496\EwxCpl.exe
C:\PROGRA~1\0190_U~1\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe
C:\DOKUME~1\Anwender\LOKALE~1\Temp\qzoqbqrw.exe
C:\Dokumente und Einstellungen\Anwender\Desktop\RootkitRevealer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PKR Pal] "C:\Programme\PKR\pkrpal.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\programm_download\SuperAntiSpyWare\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Tools\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EWX 2496 ControlPanel.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\Hotsync.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Append to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - D:\Programme\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222901634359
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1222902052093
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - C:\programm_download\SuperAntiSpyWare\SASWINLO.dll
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0190_U~1\w0svc.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HG - Sysinternals - www.sysinternals.com - C:\DOKUME~1\Anwender\LOKALE~1\Temp\HG.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 9887 bytes

Und die neue Log von RootKitRevealer:


Code:
HKLM\SECURITY\Policy\Secrets\SAC*        04.09.2003 22:07        0 bytes        Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*        04.09.2003 22:07        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*        14.03.2006 20:25        0 bytes        Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol        22.02.2006 19:44        13 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed        05.10.2008 18:52        80 bytes        Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg        15.01.2008 00:25        0 bytes        Access is denied.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll        17.09.2008 16:37        252.00 KB        Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll        17.09.2008 16:37        111.50 KB        Visible in Windows API, but not in MFT or directory index.

Ich hoffe, das hilft weiter!
Vielen Dank schon mal!
LG Heinz

myrtille 05.10.2008 18:33
Hi,

arbeite bitte die DrWeb-Anleitung und die Malwarebytes-Anleitung aus unserem Anleitungen-Forum ab und poste das Ergebnis der beiden Scans hier.

lg myrtille

Heinz IV 06.10.2008 01:09
So, hab die Schritte jatzt ausgeführt:
Scheint nicht so gut auszusehen.
Die gefundenen Objekte durch DrWeb habe ich noch nicht gelöscht.


Code:
AntiXPVSTFix.exe;C:\WINDOWS\system32;BackDoor.IRC.Dosig.15;Gelöscht.;
Process.exe;C:\WINDOWS\system32;Tool.Prockill;;
SetupPoker.exe\data001;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data002;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe\data003;D:\SetupPoker.exe;Adware.Casino;;
SetupPoker.exe;D:\;Archiv enthält infizierte Objekte;Verschoben.;
A0000337.exe\data001;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data002;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe\data003;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5\A0000337.exe;Adware.Casino;;
A0000337.exe;D:\System Volume Information\_restore{F3A76400-A910-44B5-9114-313D2D2A3097}\RP5;Archiv enthält infizierte Objekte;Verschoben.;

Code:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1230
Windows 5.1.2600 Service Pack 2

06.10.2008 02:04:22
mbam-log-2008-10-06 (02-04-22).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|)
Durchsuchte Objekte: 142921
Laufzeit: 1 hour(s), 11 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\smdat32m.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

LG Heinz

myrtille 06.10.2008 01:13
Hi,

die ersten 2 Funde von DrWeb sind definitiv Fehlalarme. Die weiteren Funde kann ich nur schwer beurteilen, viele der Pokerprogramme sind "verseucht" ob der Fund jetzt berechtigt ist oder nicht, lässt sich so nicht sagen.

Mir fehlen allerdings ein paar andere "typische" Einträge. Könntest du mir den Link zu deinem Thema bei Hijackthis geben?
lg myrtille

Heinz IV 06.10.2008 01:37
Ok, hier ist der Link!

http://forum.hijackthis.de/showthread.php?p=228575#post228575

So, werd mal ins Bett gehen und morgen wieder reinschauen!

Vielen lieben Dank schon mal für die Hilfe!
Lg Heinz

myrtille 06.10.2008 01:53
Hi,

das erklärt wo die Dateien geblieben sind. :D

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

Heinz IV 06.10.2008 12:28
Hallo,
hier die Links zu den Log Dateien


http://www.file-upload.net/download-1162137/log.txt.html

http://www.file-upload.net/download-1162139/info.txt.html


LG Heinz

myrtille 06.10.2008 23:59
Hi,

die Logs sehen sauber aus :)

lg myrtille

Heinz IV 07.10.2008 13:14
Hallo!
Also sind die Funde von DrWeb harmlos?

Wenn jetzt alles sauber ist, wäre es gut, wenn ich auf SP3 updaten würde, oder? Spricht irgendwas dagegen?

LG Heinz

myrtille 07.10.2008 13:19
Hi,

ja, die ersten 2 Funde (;BackDoor.IRC.Dosig.15 und Tool.Prockill;) sind Dateien die zu Smitfraudfix gehören, die fälschlicherweise erkannt werden.
Die restlichen Funden gehören zu deinen Pokerprogrammen.


Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates. (Kann nciht schaden ;) )
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg myrtille

Heinz IV 07.10.2008 13:34
OK!


Ein großes Dankeschön für die Hilfe!!!

:aplaus:


LG Heinz


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131