Hacktool.Rootkit - Ratlos |
||
---|---|---|
#0
| ||
13.09.2005, 18:43
...neu hier
Beiträge: 5 |
||
|
||
13.09.2005, 18:47
Member
Beiträge: 4730 |
#2
Bei Rootkits ist es grundsätzlich zu empfehlen, Windows neu zu installieren.
Evtl. bekommst Du es mit folgendem Programm weg: http://www.f-secure.com/blacklight/ __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 18:58
...neu hier
Themenstarter Beiträge: 5 |
#3
Das f-Secure Prog. findet komischerweise nichts.
|
|
|
||
13.09.2005, 19:03
Member
Beiträge: 4730 |
#4
Ok, machen wir mal die herkömmliche Methode. Zunächst ein HijackThis-Log erstellen:
http://virus-protect.org/hjtkurz.html Und im Anschluss die datfind.bat http://virus-protect.org/datfindbat.html __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
13.09.2005, 19:30
...neu hier
Themenstarter Beiträge: 5 |
#5
HiJackThisLog:
Zitat Logfile of HijackThis v1.99.1und die dat's: Zitat  Datentr„ger in Laufwerk C: ist SystemSub |
|
|
||
13.09.2005, 20:36
Member
Beiträge: 4730 |
#6
Wo sind die anderen drei Log-Dateien?
Mit HJT fixen (Häkchen vor den Eintrag machen und "fix checked" klicken) O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [uzeyyb] C:\WINDOWS\System32\jtffyj.exe O4 - HKLM\..\Run: [RNBvnc Test] deadv32.exe O4 - HKLM\..\RunServices: [RNBvnc Test] deadv32.exe O4 - HKCU\..\Run: [RNBvnc Test] deadv32.exe O23 - Service: hpdj5100 - Unknown owner - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hpdj5100.exe (file missing) O23 - Service: settings - Unknown owner - C:\WINDOWS\settings.exe Killbox laden und entpacken: http://virus-protect.org/killbox.html PC in den abgesicherten Modus starten. Killbox starten, "Delete on Reboot" aktivieren und einzeln in das Eingabefeld reinkopieren. Jeweils mit Klick auf das Kreuz rechts daneben bestätigen, die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA bestätigen. C:\WINDOWS\System32\jtffyj.exe C:\WINDOWS\settings.exe c:\windows\system32\deadv32.exe c:\windows\system32\orans.sys c:\windows\system32\i PC wird neugestartet. Ebenfalls im abgesicherten Modus einen Scan mit eScanCheck durchführen und berichten: http://virus-protect.org/escan.html Da Dein Windows offenbar auf dem Stand von vor ca. vier Jahren ist, solltest Du unbedingt alle WIndowsupdates und ServicePacks installieren, da Du sonst noch mehr Schadsoftware mit der Zeit ansammeln wirst. Es kommt nicht alles über den Internet Explorer, manche Viren (bspw. Sasser) kommen auch über Sicherheitslücken auf Deinen PC, sobald Du im Internet bist. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
14.09.2005, 11:13
Ehrenmitglied
Beiträge: 29434 |
#7
wie waere es mit formatieren ????????????
http://uk.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_SDBOT.CBC Start-->Ausfeuhren--> regedit HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\netinfo ImagePath = "%Windows%\netinfo.exe" <--loeschen HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\netinfo DisplayName = "netinfo"<--loeschen HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\orans ImagePath = "%System%\orans.sys"<--loeschen This worm also modifies the following registry entries to change affected system's firewall and security settings: HKEY_LOCAL_MACHINE\Software\ Microsoft\Security Center AntiVirusDisableNotify = "dword:00000001" --> in 0 aendern HKEY_LOCAL_MACHINE\Software\ Microsoft\Security Center FirewallDisableNotify = "dword:00000001"--> in 0 aendern HKEY_LOCAL_MACHINE\Software\ Microsoft\Security Center AntiVirusOverride = "dword:00000001"--> in 0 aendern HKEY_LOCAL_MACHINE\Software\ Microsoft\Security Center FirewallOverride = "dword:00000001"--> in 0 aendern HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Security Center UpdatesDisableNotify = "dword:00000001"--> in 0 aendern HKEY_LOCAL_MACHINE\Software\Policies\ Microsoft\Windows\WindowsUpdate DoNotAllowXPSP2 = "dword:00000001"--> in 0 aendern (Note: The default value is "dword:00000000".) ---------------------------------------------------------------------- It also modifies the following registry entries as part of its installation routine: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole EnableDCOM = "N" --> in Y aendern (Note: The default value is "Y".) --------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Lsa RestrictAnonymous = "dword:00000001" (Note: Though there is no default value for RestrictAnonymous, it may be modified from the one defined by the user.) ---------------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ WindowsFirewall\DomainProfile EnableFirewall = "dword:00000000" HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ WindowsFirewall\StandardProfile EnableFirewall = "dword:00000000" (Note: The default values are usually user-defined.) --------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\wscsvc Start = "dword:00000004" -->in 2 aendern HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\RemoteRegistry Start = "dword:00000004" ---->in 2 aendern HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\Messenger Start = "dword:00000004"-->in 2 aendern (Note: The default value is "dword:00000002".) ---------------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\TlntSvr Start = "dword:00000004" (Note: The default value is "dword:00000003".) ------------------------------------------------------------------------------ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control WaitToKillServiceTimeout = "7000" (Note: The default value is "20000".) ------------------------------------------------------------------------------- Furthermore, this worm modifies the following registry entries, if they are present on an affected system: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters AutoShareWks = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanserver\parameters AutoShareServer = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanworkstation\parameters AutoShareWks = "dword:00000000" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\lanmanworkstation\parameters AutoShareServer = "dword:00000000" (Note: The default value is user-defined.) --------------------------------------------------------------------- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\WindowsUpdate\Auto Update AUOption = "dword:00000001" (Note: The default value is "dword:00000000".) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.09.2005, 18:09
...neu hier
Themenstarter Beiträge: 5 |
#8
Nabend, vielen dank für die Hilfe!
hier die restlichen 3 log's Zitat atentr ger in Laufwerk C: ist SystemHier das escan log: Zitat -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------So, werde dann mal neu booten und die reg. überprüfen. Greets Bastian |
|
|
||
14.09.2005, 23:29
Ehrenmitglied
Beiträge: 29434 |
#9
nach den Aenderungen in der Registry musst du den PC neustarten
dann mache Onlinescans (Panda und kaspersky), dann berichte http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.09.2005, 18:28
...neu hier
Themenstarter Beiträge: 5 |
#10
Sooooooo, nabend erstmal und nochmals danke für eure hilfe !
Habe mein "uralt"-XP mittlerweile auch auf den neusten Stand gebracht, SP2 drauf und alle updates die zu haben waren. eurer anleitung bin ich natürlich auch gefolgt: also, hab in der reg. alles abgeändert, bis auf: Zitat Nicht vorhanden:So weit so gut. Die Log´s von Panda und Kaspersky poste ich jetzt mal nicht, denn was da gefunden wurde waren nur Sachen, die sich in der Norton Quarantäne befanden. Sprich der Scan hat ergeben, dass ich Sauber bin. Mein Lokal installiertes NAV 2005 bestätigt dies. Jetzt bin ich hin und hergerissen. Trotzdem neuinstallieren, oder mich in Sicherheit wägen. Ich will mir garnicht vorstellen, was für eine Arbeit das wäre, mein ganzes System neu aufzusetzen, deswegen drücke ich mich entsprechend davor. Das wären an die 200GB die ich neu aufspielen müsste. Arghs. Ich beobachte auch die ganze Zeit die laufenden Prozesse, ob sich nach einem Neustart irgendwas neues in der Reg. eingetragen usw, aber bisweilen kann ich einfach nichts feststellen. Das spricht ja an und sich dafür das ich "clean" bin..... hmm... Grüße Bastian |
|
|
||
17.09.2005, 17:46
Member
Beiträge: 4730 |
#11
Evtl. solltest Du Deine Festplatte partitionieren (in der aktuellen CHIP befindet sich ein entsprechendes Programm), um im Falle eines Falles nicht alle Daten zu verlieren (wenn Du sie auf die andere Partition oder sogar auf eine andere Festplatte verschiebst).
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
20.10.2005, 22:31
...neu hier
Beiträge: 1 |
#12
Hallo! MNirist der gleiche Mist passiert wie Sub und bitte dringend um Hilfe. Hier meine LOgfile:
Logfile of HijackThis v1.99.1 Scan saved at 22:04:02, on 20.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Acer\eManager\anbmServ.exe C:\Programme\Nokia\PC Suite for Nokia N-Gage\connmngmntbox.exe C:\Programme\Nokia\PC Suite for Nokia N-Gage\ectaskscheduler.exe C:\Programme\palm\HOTSYNC.EXE C:\Programme\Corel\Graphics9\Register\Remind32.exe C:\Programme\Samurize\Client.exe C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\BiBi\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rpfugnjwoizqdgkc.com/WIWes9vPcgbEioWXeWXn0L7bat8x8iLQJqS9RezqdKfOQQtiAPN_zl_faXFy8rj/.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.zwitrglcgusqcum.com/WIWes9vPcgYdT5KLWpib26e/7tN7YK/MqYDWHGFbcHk.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C55CCDE6-5881-D68B-BE1B-BADA49EFD94D} - C:\DOKUME~1\BiBi\ANWEND~1\TRUSTT~1\flaw upload.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [wavemealtoolping] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WebCurbWaveMeal\surf bin.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [OnlineCdrom] C:\DOKUME~1\BiBi\ANWEND~1\ATOMDE~1\32third.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Startup: HotSync Manager.lnk = C:\Programme\palm\HOTSYNC.EXE O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe O4 - Startup: Client Default.lnk = C:\Programme\Samurize\Client.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ? O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102197606700 O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe Und hier: Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 2629-16F0 Verzeichnis von C:\WINDOWS\system32 20.10.2005 20:41 10.752 Thumbs.db 20.10.2005 20:35 892 vsconfig.xml 20.10.2005 13:14 902.476 PerfStringBackup.INI 20.10.2005 13:14 393.086 perfh007.dat 20.10.2005 13:14 64.848 perfc007.dat 20.10.2005 13:14 53.770 perfc009.dat 20.10.2005 13:14 382.026 perfh009.dat 18.10.2005 21:44 1.158 wpa.dbl 16.10.2005 15:23 196.160 FNTCACHE.DAT 15.10.2005 08:01 3.741 jupdate-1.5.0_04-b05.log 09.10.2005 19:55 176.167 rmoc3260.dll 09.10.2005 19:55 5.632 pndx5032.dll 09.10.2005 19:55 6.656 pndx5016.dll 09.10.2005 19:55 278.528 pncrt.dll 05.10.2005 04:09 2.301.792 MRT.exe 04.10.2005 17:26 3.013.120 mshtml.dll 04.10.2005 16:07 34 BD2030.DAT 23.09.2005 05:06 8.491.520 shell32.dll 10.09.2005 03:54 2.067.968 cdosys.dll und dann Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 2629-16F0 Verzeichnis von C:\DOKUME~1\BiBi\LOKALE~1\Temp 20.10.2005 21:53 16.384 ~DF4D47.tmp 20.10.2005 20:34 16.384 Perflib_Perfdata_78.dat 20.10.2005 20:34 97.703 jusched.log 19.10.2005 22:33 0 amh51.tmp 19.10.2005 22:33 0 99550.tmp 19.10.2005 22:32 0 lbm4C.tmp 19.10.2005 22:32 0 yqm4D.tmp 19.10.2005 22:31 0 sf54B.tmp 19.10.2005 22:31 0 8yj4A.tmp 19.10.2005 22:30 0 aah49.tmp 19.10.2005 22:17 0 dsx3D.tmp 19.10.2005 06:25 20.316 af8a_appcompat.txt 17.10.2005 21:48 11.380 java_install_reg.log 16.10.2005 23:51 4.055 wecerr.txt 16.10.2005 19:32 3 Twain001.Mtx 16.10.2005 11:36 292.046 FrontPage 2000 Setup (0004)_MsiExec.txt 16.10.2005 11:26 33.412 offcln9.log 16.10.2005 11:26 1.649 FrontPage 2000 Setup (0004).txt 16.10.2005 11:20 33.086 FrontPage 2000 Setup (0002)_MsiExec.txt 16.10.2005 11:20 1.649 FrontPage 2000 Setup (0002).txt 15.10.2005 08:00 74.431 java_install.log 11.10.2005 21:51 2.485 Skin.ini 11.10.2005 01:07 16.384 ~DFA0CF.tmp 11.10.2005 01:07 16.384 ~DFD9BF.tmp 11.10.2005 00:54 16.384 ~DFC74D.tmp 11.10.2005 00:50 16.384 ~DF6E7D.tmp 10.10.2005 20:35 0 yhw13.tmp 10.10.2005 20:34 0 vtt10.tmp 10.10.2005 20:34 0 fjqD.tmp 10.10.2005 20:33 0 qxl7.tmp 10.10.2005 12:20 0 c6yB4.tmp 10.10.2005 12:20 0 vntB1.tmp 10.10.2005 12:18 0 45oAA.tmp 10.10.2005 12:18 0 1bhA8.tmp 10.10.2005 12:18 0 d69A5.tmp 10.10.2005 12:14 0 wyq93.tmp 10.10.2005 12:11 35.328 Thumbs.db 10.10.2005 12:11 717 control.xml und drittens Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 2629-16F0 Verzeichnis von C:\WINDOWS 20.10.2005 20:41 51.712 Thumbs.db 20.10.2005 20:35 6.018 ModemLog_Bluetooth Fax Modem.txt 20.10.2005 20:35 6.014 ModemLog_Bluetooth Modem.txt 20.10.2005 20:34 4.456 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt 20.10.2005 20:34 159 wiadebug.log 20.10.2005 20:34 0 0.log 20.10.2005 20:34 2.048 bootstat.dat 20.10.2005 13:45 32.558 SchedLgU.Txt 20.10.2005 13:45 50 wiaservc.log 20.10.2005 13:45 1.660 bthservsdp.dat 20.10.2005 13:44 1.944.156 WindowsUpdate.log 20.10.2005 13:42 482.376 setupapi.log 20.10.2005 13:10 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #10.txt 20.10.2005 13:10 2.082 ModemLog_Standardmodem ber Bluetooth-Verbindung #9.txt 20.10.2005 07:04 35.840 offitems.log 16.10.2005 18:22 1.129 win.ini 16.10.2005 11:36 737 ODBC.INI 16.10.2005 11:35 59 vbaddin.ini 16.10.2005 11:20 21.393 msgsocm.log 16.10.2005 11:20 165.888 tsoc.log 16.10.2005 11:20 22.127 KB901017.log 16.10.2005 11:20 230.561 ocgen.log 16.10.2005 11:20 21.606 ocmsn.log 16.10.2005 11:20 429.178 FaxSetup.log 16.10.2005 11:20 1.393 imsins.log 16.10.2005 11:20 146.975 comsetup.log 16.10.2005 11:20 90.229 ntdtcsetup.log 16.10.2005 11:20 62.136 iis6.log 16.10.2005 11:20 1.393 imsins.BAK 16.10.2005 11:20 24.560 KB902400.log 16.10.2005 11:20 21.087 updspapi.log 16.10.2005 11:19 15.121 KB896688.log 16.10.2005 11:19 14.140 KB905414.log 16.10.2005 11:19 13.881 KB900725.log 16.10.2005 11:19 11.238 KB904706.log 16.10.2005 11:19 11.854 KB905749.log 11.10.2005 00:49 1.409 QTFont.for 11.10.2005 00:49 54.156 QTFont.qfn 10.10.2005 12:11 200.079 wmsetup.log 09.10.2005 19:59 556 cdplayer.ini 09.10.2005 19:34 7.168 BiBi.pcb 06.10.2005 12:43 12.672 SYMEVENT.LOG 04.10.2005 16:14 432 BRWMARK.INI 04.10.2005 15:57 141 BRVIDEO.INI 04.10.2005 15:57 40 BRDIAG.INI 04.10.2005 15:57 9.013 HL-2030.INI 04.10.2005 15:57 23 Brownie.ini 22.09.2005 07:27 334 GEARInstall.log und als letztes Datentr„ger in Laufwerk C: ist ACER Volumeseriennummer: 2629-16F0 Verzeichnis von C:\ 20.10.2005 22:29 0 sys.txt 20.10.2005 22:28 13.172 system.txt 20.10.2005 22:27 198.517 systemtemp.txt 20.10.2005 22:25 109.556 system32.txt 20.10.2005 20:34 802.824.192 pagefile.sys 20.10.2005 20:34 535.285.760 hiberfil.sys 16.10.2005 22:42 1.683.218 hoover.cdr 16.10.2005 22:26 1.682.530 Backup_of_hoover.cdr 20.08.2005 01:04 13.030 PDOXUSRS.NET 19.12.2004 11:24 1.120 INSTALL.LOG 11.12.2004 01:35 516 hpcmerr.log 07.12.2004 04:37 211 BOOT.INI 07.12.2004 04:29 47.564 NTDETECT.COM 07.12.2004 04:29 251.184 ntldr 05.12.2004 17:02 3 TCPCheckResult.txt 05.12.2004 16:38 311.296 ffastun.ffl 05.12.2004 16:38 954.368 ffastun0.ffx 05.12.2004 16:38 139.264 ffastun.ffo 05.12.2004 16:38 4.795 ffastun.ffa 05.12.2004 15:58 137 BcBtRmv.log 06.07.2004 15:18 173 iv5setup.log 06.07.2004 14:51 0 AUTOEXEC.BAT 06.07.2004 14:51 0 CONFIG.SYS 06.07.2004 14:51 0 MSDOS.SYS 06.07.2004 14:51 0 IO.SYS 06.07.2004 14:38 512 BOOTSECT.DOS 06.07.2004 14:35 69 PRELOAD.AAA 02.04.2003 12:00 4.952 bootfont.bin 24.05.2001 12:59 162.304 UNWISE.EXE 29 Datei(en) 1.343.688.443 Bytes 0 Verzeichnis(se), 14.380.318.720 Bytes frei Ich bitte um Hilfe!!!!!!!!!!!!! |
|
|
||
21.10.2005, 14:33
...neu hier
Beiträge: 3 |
#13
Hallo alle zu sammen,
es wäre nett wenn ihr mir da auch helfen könntet! Ich hab hier von überhaupt keine Ahnung, ich dachte mein Norton reicht!!!:-( Bei mir ist auch dieses Hacktool.Rootkit (Objektnahme C:\WINDOWS\system32\SVKP.sys) Ich versuch schon mal die logs und so zu posten! Vielen Dank im voraus!!! MfG Mag2people Zitat Logfile of HijackThis v1.99.1 Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung. Zitat Volume in Laufwerk C: hat keine Bezeichnung.Noch mal Danke!!! Mag :-) |
|
|
||
21.10.2005, 15:12
...neu hier
Beiträge: 9 |
#14
Ich hab genau dasselbe PRoblem!
Zitat Hallo alle zu sammen,Dazu kommt noch, dass mein Live Update Abo bei Norton abgelaufen ist! Gerade mal 2 Tage vorher. -.- verdächtig... Mein Log: Zitat Logfile of HijackThis v1.99.1EDIT: dat-log: Zitat (system32) Zitat Datentr„ger in Laufwerk C: ist PROGRAMME Zitat Verzeichnis von C:\WINDOWS Zitat Verzeichnis von C:\ Dieser Beitrag wurde am 21.10.2005 um 15:30 Uhr von Triladar editiert.
|
|
|
||
Vorweg:
das schreibe ich von meinem Linux-System aus, wegen verdacht auf kompromitierung der Win Festplatte wurden alle wichtigen PWs bereits geändert - natürlich von Linux aus.
Tja, vor 2 Tagen fing es an:
Unter WinXPPro meldet sich mein Norton AV2005, das die datei orans.sys im System32 Ordner mit dem
"Hacktool.Rootkit" infiziert sei.
Gut, also schnell neue Definitionen für Norton, sowie AdAware gezogen.
Danach sofort die Internetverbindung getrennt und präventiv auch mal das Netzwerkkabel gezogen...man weis ja nicht was sich bisher auf "meinem" System so getan hat.
Norton findet komischerweise im Fullsystem-Scan die besagte Orans.sys nicht, obwohl im Sekundentakt die Warnfesnter aufgehen.
Im Taskplaner ist auch interresanntes zu beobachten:
Ein Prozess namens "settings.exe" erscheint kurz, verschwindet sofort wieder, um dann für ca. 1-2 sek. wieder zu erscheinen, danach das ganze spiel von vorne.
Ein Löschen der settings.exe bringt nix. Auch die sofortige erstellung einer Leeren settigs.exe (mit Schreibschutzt) bringt nix, dann taucht sie halt wieder unter einem anderen Namen auf.
Norton AV findet komischerweise im Full System Scan Modus die besagte orans.sys nicht, obwohl alle 10ms darauf hingewiesen wird.....
Ein Löschen im Abgesichterten Modus bringt auch nix. Zack ist die Schei... wieder da.
Hab gerade meine Windows C: platte mal hier in Linux gemounted. Tja, komisch, dort ist die orans.sys nicht aufzufinden.
Tja, bin echt ratlos.
Das ist die erste "Viren"-Geschichte die mir echt zu schaffen macht. In 8 Jahren null Prob. gehabt, die ganzen Viren in den Medien konnten bei mir zb. nie Landen. Keine InternetExplorer Nutzung, dementsprechend kein ActiveX, keine grob unseriösen Seiten besucht usw.
Und nun doch........
Wenn jemand eine Idee hat, bitte her damit.
Grüße
Bastian