Stealth Virus im Bios

#1 Hallo, gibt es jemand, der dazu was sagen kann?


Kann man ACPI im Bios nicht abschalten so, daß Windows lauffähig bleibt?
Wenn ich es abschalte geht das Windows nicht mehr.

#2 Wau, es gibt noch Adinf User! Das habe ich lange nicht mehr gesehen, ich wusste nicht mal, das das noch weiterentwickelt wird.

Diese Meldung hat nichts mit Bios zu tun. Adinf versucht auf 2 Arten Informationen ueber eine Datei zu bekommen und vergleicht diese Informatioenen miteinander. Einmal den Zugriff ueber das Betriebssystem und einmal ueber das Bios( also es umgeht das Betriebssystem). Man kann es auch als eine Art Rootkiterkennung ansehen.

Tiny Firewall scheint wohl einige Techniken zu nutzen um sich zu schuetzen, das bringt Adinf wohl durcheinander.
__________
MfG Ralf
SEO-Spam Hunter

#3 Hm, das wäre schön, wenn es nur das wäre, aber wieso passiert dann auch das?


Und wie sieht es hiermit aus, ist das auch normal, daß wenn man fixmbr hintereinander macht, daß dennoch immer wieder die Meldung erscheint: Mbr scheint ungültig zu sein, obwohl er angeblich neu geschrieben wurde?


Wie sieht es damit aus? Normal? Was sagen die Experten?


Und hiermit:

Wäre interessant, dazu einige Meinungen zu hören.[/img]

#4 Du faehrst da ziemlich viel auf einmal auf. Wenn du da irgendwie Ordnung reinbringen moechtest, solltest du solche Tools nicht alle zugleich installiert haben. Besonders bei appdefender sollte man wissen, was es meldet.

Um Probleme Lokalisieren zu koennen, solltest du Schritt fuer Schritt vorgehen. Sprich alles an Programmen die im Hintergrund Rumwerkeln deaktivieren, oder besser deinstallieren und erstmal mit Programmen wie Blacklight, Rootkitrevealer und vieleicht noch mit SVV arbeiten. Wenn du bereits so eine "Panik" hast, kannst du immer noch neu aufsetzen und entsprechende Kontrolle machen.
__________
MfG Ralf
SEO-Spam Hunter

#5 Svv zeigt folgendes



Ich vermute, daß die Hooks von process guard, antihook & Co. kommen, allerdings, daß es Probleme hat Ntoskrnl.exe zu finden, sieht seltsam aus, da der Kernel ja ganz normal im Systemverzeichnis ist. Übrigens erscheint diese Ntoskrnl Meldung auch ohne die ganzen installierten Programme, habe ich schon getestet.

Es gibt sowohl ntkrnlpa.exe, als auch ntoskrnl.exe, beide sind vorhanden.

Blacklight inkl. Unhack Me finden nichts.
Was Blacklight und Unhack Me finden, kann ich auch selber finden.

Eins ist jedenfalls sicher Port Explorer und Apt werden von etwas unsichtbarem gekillt.(laut Ghost und Antihook ist es csrss.exe, die aber dazu von comctl32.dll aufgefordert bzw. umgeleitet wurde, so glaube ich) Im Eventmanager steht [img]unknown, aber da der Eventmanager von der msvcp60.dll abhängt und die im Fall der Fälle eh gehookt ist, kann man auf die Ergebnisse dann nicht mehr soviel geben.

Rootkit Revealer findet vereinzelt was, aber meist eher unwichtigerer Natur.
Aktuell findet er gerade das:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 23.02.2006 15:09 4 bytes Data mismatch between Windows API and raw hive data.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 20.02.2006 15:28 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 20.02.2006 15:28 111.50 KB Visible in Windows API, but not in MFT or directory index.

Noch etwas

Wenn ich bei Rkdetector auf Recovery, zeigt er immer an: Lost+Found:
DIR 01/01/1600 00:00 MFT 0X1 (sieht komisch aus, aber wird wohl kaum was zu sagen haben, ich dachte ich erwähne es am Rande) Schon ein krasses Datum 1600, bei Windows gehts normal nur bis 1985.[/img]

#6 Ja, das mit Diamondcs APT ist das schon etwas sonderbar oben in dem Bild dachte ich erst appdefender haette einen Fehler in der Zuordnung, wer was beenden will.

Wenn du moechtest, kannst du weitere Informationen posten, wie Hijackthis, silentrunners, WINPFIND logs und datfindbat:

http://virus-protect.org/datfindbat.html
http://virus-protect.org/silentrunner.html
http://virus-protect.org/winpfind.html


Am allerbesten die gesamten Logs mit zip oder rar packen und anhaengen, anstatt sie zu posten. Das wuerde das Posting wohl sprengen..
__________
MfG Ralf
SEO-Spam Hunter

#7 Übrigens der neueste Alarm von Adinf:


Ich habe außerdem mal eine Linux CDRom reingelegt und frage mich nun ob diese Disk hier normal ist, die zusätzlich zur Festplatte erscheint, Disk(unknown).
Ohne ACPI läuft diese Windows Version nicht, wenn ich ACPI im Bios deaktiviere geht nichts, abgesehen von Linux.



Suspekt ist auch Service: Shared Access, startet immer wieder auf automatisch, obwohl ich es jedesmal wieder deaktiviere!

Danke vorab für die Links, ich versuche ein wenig zu kürzen, da ich nicht weiß, wie und wo ich da zippen muß. Ein paar Dateien, die mir selber suspekt vorkamen, habe ich mit <<<< markiert

»»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600

Checking %ProgramFilesDir% folder...

Checking %WinDir% folder...
Umonitor 19.02.2006 16:54:44 86513 C:\WINDOWS\pxinstall_log.txt

Checking %System% folder...
PEC2 04.08.2004 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc
PEC2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll
PECompact2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll
aspack 04.08.2004 13:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll <<<<<<<<<<<<<<<<??aspacked!?
Umonitor 04.08.2004 13:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll
winsync 04.08.2004 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu
PEC2 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG
PECompact2 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG
aspack 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} =
{0DF44EAA-FF21-4412-828E-260A8728E7F1} =

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll
{0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll
{2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376}
&Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll

Checking the Windows folder and sub-folders for system and hidden files within the last 60 days...
23.02.2006 21:12:54 S 2048 C:\WINDOWS\bootstat.dat
18.02.2006 11:43:48 RH 749 C:\WINDOWS\WindowsShell.Manifest
18.02.2006 12:26:52 RHS 227 C:\WINDOWS\assembly\Desktop.ini
20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme
20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\pubpol1.dat
20.02.2006 16:37:54 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1b.dat
20.02.2006 16:37:56 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat
18.02.2006 11:43:52 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini
18.02.2006 11:44:22 HS 67 C:\WINDOWS\Fonts\desktop.ini
21.02.2006 06:34:22 H 10820 C:\WINDOWS\Help\update.GID
18.02.2006 11:43:52 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini
18.02.2006 11:44:08 RHS 765 C:\WINDOWS\pchealth\helpctr\PackageStore\package_1.cab

Also beim Sys & C Verzeichnis versuch ich nur das Auffälligste rauszusuchen.

System32
18.02.2006 13:44 8 probtp51.cnt
18.02.2006 11:46 261 $winnt$.inf
18.02.2006 11:44 2.951 CONFIG.NT
18.02.2006 11:44 23.392 nscompat.tlb
18.02.2006 11:44 16.832 amcompat.tlb
18.02.2006 11:43 488 WindowsLogon.manifest
18.02.2006 11:43 488 logonui.exe.manifest
18.02.2006 11:43 749 cdplayer.exe.manifest
18.02.2006 11:43 749 nwc.cpl.manifest
18.02.2006 11:43 749 ncpa.cpl.manifest
18.02.2006 11:43 749 sapi.cpl.manifest
18.02.2006 11:43 749 wuaucpl.cpl.manifest
18.02.2006 11:42 21.740 emptyregdb.dat
18.02.2006 11:39 0 h323log.txt
19.02.2006 14:43 270.336 imon.dll
19.02.2006 14:13 43.573 nvapps.xml
23.02.2006 21:53 62.832 pguard.dat
22.02.2006 20:47 972 inst.log
22.02.2006 10:14 114.968 FNTCACHE.DAT <<<<<<<
20.02.2006 18:58 403.748 perfh009.dat
20.02.2006 18:58 63.554 perfc009.dat
20.02.2006 18:58 418.154 perfh007.dat
20.02.2006 18:58 967.170 PerfStringBackup.INI
20.02.2006 18:58 76.206 perfc007.dat
20.02.2006 12:21 78.692 pghash.dat
18.04.2003 16:46 1.233.920 msxml4.dll
18.04.2003 16:29 82.432 msxml4r.dll
18.03.2003 21:12 1.047.552 mfc71u.dll
18.03.2003 21:05 89.088 atl71.dll
21.02.2003 04:42 348.160 msvcr71.dll
20.02.2003 19:16 32.768 netfxperf.dll
03.04.2002 14:37 290.816 l3codeca.acm
19.03.2002 17:30 21.504 phototoys.dll
19.03.2002 17:30 5.528 PowerToyReadme.htm
05.01.2002 02:48 974.848 mfc70.dll
05.01.2002 02:40 487.424 msvcp70.dll
05.01.2002 02:38 54.784 msvci70.dll
05.01.2002 02:36 964.608 mfc70u.dll
05.01.2002 01:37 344.064 msvcr70.dll
09.07.2001 10:50 155.648 NeroCheck.exe
14.06.2001 19:48 520.267 libmmd.dll
12.03.2001 17:07 260.096 richtx32.ocx
26.06.2000 10:45 106.496 TwnLib20.dll
22.05.2000 16:58 244.416 msflxgrd.ocx
22.05.2000 16:58 647.872 mscomct2.ocx
22.05.2000 16:58 140.488 comdlg32.ocx
09.08.1999 14:40 163.600 wmaudsdk.dll
09.08.1999 14:39 14.832 asfsipc.dll
12.03.1999 14:31 7.440 sporder.dll
29.07.2004 00:14 8.704 spmsg.dll
26.07.2004 16:16 262.144 ImagXR7.dll
26.07.2004 16:16 471.040 ImagXRA7.dll
26.07.2004 16:16 476.320 ImagXpr7.dll
26.07.2004 16:16 1.568.768 ImagX7.dll
12.07.2004 02:10 499.712 msvcp71.dll
21.05.2004 06:00 7.680 CNMVS66.DLL
21.05.2004 06:00 116.736 CNMLM66.DLL
10.05.2004 21:05 44.544 jgaw400.dll
10.05.2004 21:05 167.936 jgdw400.dll
10.05.2004 21:05 153.088 jgdwmie.dll
10.05.2004 21:05 35.840 jgmd400.dll
10.05.2004 21:05 42.496 jgpl400.dll
10.05.2004 21:05 45.568 jgsd400.dll
10.05.2004 21:05 65.536 jgsh400.dll
10.05.2004 21:05 54.784 Inetwh32.dll
10.05.2004 21:05 1.044.480 roboex32.dll
10.05.2004 21:05 29.184 popup.ocx
10.05.2004 21:05 1.060.864 mfc71.dll
26.04.2004 03:02 28.672 ADinf32.cpl
08.04.2004 06:03 225.280 AOLDial.dll
11.03.2004 17:06 86.016 CNMCP66.exe
02.10.2003 11:15 61.440 xcomm.dll
09.06.2005 21:32 692.736 DivX.dll
06.06.2005 22:13 356.436 DivXMedia.ax
29.05.2005 00:35 692.224 divxdec.ax
24.05.2005 22:32 10.775 dsm_ja.qm
24.05.2005 22:32 15.153 dsm_fr.qm
24.05.2005 22:32 15.351 dsm_de.qm
24.05.2005 22:32 4.276 divxsm.tlb
24.05.2005 22:32 524.288 DivXsm.exe
20.05.2005 19:25 3.136 dtu_de.qm
18.05.2005 22:40 200.704 dtu100.dll
05.05.2005 02:12 671.744 divx_xx11.dll
05.05.2005 02:12 688.128 divx_xx0c.dll
05.05.2005 02:12 688.128 divx_xx07.dll
28.04.2005 05:22 3.596.288 qt-dx331.dll
28.04.2005 05:22 57.344 dpv11.dll
28.04.2005 05:22 303.104 dpus11.dll
28.04.2005 05:22 581.632 dpuGUI11.dll
28.04.2005 05:22 8.523 dpude.qm
28.04.2005 05:22 245.760 dpu11.dll
28.04.2005 05:22 86.016 dpl100.dll
28.04.2005 05:22 245.408 unicows.dll
28.04.2005 05:22 159.744 ssleay32.dll
28.04.2005 05:22 831.488 libeay32.dll
06.04.2005 02:19 201.728 fdco1.dll
06.04.2005 02:19 201.728 fdco1ins.dll
06.04.2005 02:19 9.728 bdco1ins.dll
06.04.2005 02:19 9.728 bdco1.dll
04.04.2005 18:00 32.256 nvconrm.dll
04.04.2005 17:59 176.128 nvunrm.exe
13.02.2005 20:15 225.280 VSFLEX3.OCX
13.02.2005 20:15 37.376 VEN2232.OLB
13.02.2005 20:15 40.960 VBAME.DLL
13.02.2005 20:15 24.848 VBAEND32.OLB
13.02.2005 20:15 24.848 VBAEN32.OLB
13.02.2005 20:15 27.612 VBADE32.OLB
13.02.2005 20:15 15.872 SCP32.DLL
13.02.2005 20:15 151.552 RDOCURS.DLL
13.02.2005 20:15 397.312 MSRDO20.DLL
13.02.2005 20:15 94.208 MSSTKPRP.DLL
13.02.2005 20:15 118.784 MSSTDFMT.DLL
13.02.2005 20:15 8.192 MSPRPDE.DLL
13.02.2005 20:15 1.077.344 MSCOMCTL.OCX
13.02.2005 20:15 57.344 MFC42DEU.DLL
(die standard Sysfiles ausgelassen)

C:\
04.08.2004 13:00 251.184 ntldr
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 47.564 NTDETECT.COM
08.02.2006 13:24 1.443.392 procexp.exe
01.02.2006 17:02 237.651 RootkitRevealer.exe
22.01.2006 15:51 57.344 modgreper.exe
22.01.2006 15:13 4.608 modgreper.sys
18.02.2006 11:44 0 CONFIG.SYS
18.02.2006 11:44 0 MSDOS.SYS
18.02.2006 11:44 0 AUTOEXEC.BAT
18.02.2006 11:44 0 IO.SYS
21.02.2006 08:11 29 dfinstall.log
20.02.2006 16:26 111.514 Filemon.LOG
20.02.2006 15:26 411.898 dd_netfx20MSI04B4.txt
18.02.2006 19:32 52 driver.ini
18.02.2006 19:31 5.632 VICESYS.sys
18.02.2006 19:31 159.744 ViceConsole.exe
18.02.2006 13:50 136 RootkitReveal_0 Found.txt
18.02.2006 13:07 212 boot.ini
23.02.2006 21:12 1.610.612.736 pagefile.sys

Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 949C-9114

Verzeichnis von C:\WINDOWS

23.02.2006 21:28 623 win.ini
23.02.2006 21:13 26.183 setupapi.log
23.02.2006 21:13 0 0.log
23.02.2006 21:12 2.048 bootstat.dat
23.02.2006 17:39 291.274 ntbtlog.txt
23.02.2006 15:56 159 wiadebug.log
23.02.2006 15:56 50 wiaservc.log
23.02.2006 15:52 8.162 SchedLgU.Txt
23.02.2006 14:27 956 WindowsUpdate.log
22.02.2006 21:38 107.132 UninstallFirefox.exe
22.02.2006 21:38 2.258 mozver.dat
22.02.2006 16:39 0 setuperr.log
22.02.2006 16:39 0 setupact.log
22.02.2006 13:43 69 NeroDigital.ini
22.02.2006 09:29 0 Sti_Trace.log
22.02.2006 09:25 400 ODBC.INI
21.02.2006 14:09 0 OpPrintServer.INI
21.02.2006 10:13 316.640 WMSysPr9.prx
18.02.2006 12:08 6.395.976 LCG
20.02.2006 13:31 1.072 Sandboxie.ini
19.02.2006 16:54 86.513 pxinstall_log.txt
19.02.2006 13:30 335 nsreg.dat
18.02.2006 11:44 0 control.ini
18.02.2006 11:44 4.161 ODBCINST.INI
18.02.2006 11:43 749 WindowsShell.Manifest
18.02.2006 11:42 36 vb.ini
18.02.2006 11:42 37 vbaddin.ini
18.02.2006 11:35 231 system.ini
04.08.2004 13:00 65.954 Pr„riewind.bmp
04.08.2004 13:00 153.600 regedit.exe
04.08.2004 13:00 17.362 Rhododendron.bmp
04.08.2004 13:00 1.014.663 SET3.tmp
04.08.2004 13:00 1.086.058 SET4.tmp
04.08.2004 13:00 26.582 Granit.bmp
04.08.2004 13:00 80 explorer.scf
04.08.2004 13:00 1.035.264 explorer.exe
04.08.2004 13:00 2 desktop.ini
04.08.2004 13:00 17.062 Kaffeetasse.bmp
04.08.2004 13:00 10.752 hh.exe
04.08.2004 13:00 15.872 TASKMAN.EXE
04.08.2004 13:00 94.800 twain.dll
04.08.2004 13:00 50.688 twain_32.dll
04.08.2004 13:00 49.680 twunk_16.exe
04.08.2004 13:00 25.600 twunk_32.exe
04.08.2004 13:00 82.944 clock.avi
04.08.2004 13:00 17.336 Angler.bmp
04.08.2004 13:00 70.144 NOTEPAD.EXE
04.08.2004 13:00 18.944 vmmreg32.dll
04.08.2004 13:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 13:00 34.818 wmprfDEU.prx
04.08.2004 13:00 9.522 Zapotek.bmp
04.08.2004 13:00 1.405 msdfmap.ini
04.08.2004 13:00 14.043 SET8.tmp
04.08.2004 13:00 257.568 winhelp.exe
04.08.2004 13:00 288.768 winhlp32.exe
04.08.2004 13:00 48.680 winnt.bmp
04.08.2004 13:00 48.680 winnt256.bmp
04.08.2004 13:00 707 _default.pif
14.01.2004 02:10 163.840 BJPSUNST.EXE
17.11.1998 13:44 328.704 IsUn0407.exe
29.10.1998 16:45 306.688 IsUninst.exe
67 Datei(en) 7.752.172 Bytes
0 Verzeichnis(se), 44.696.231.936 Bytes frei


Datentr„ger in Laufwerk C: ist FESTPLATTE
Volumeseriennummer: 949C-9114

Verzeichnis von C:\DOKUME~1\MGTKLT~1\LOKALE~1\Temp

23.02.2006 21:22 3 Twain001.Mtx
23.02.2006 14:50 470 MSI8a6cc.LOG
23.02.2006 14:49 640 bdemerge.ini
23.02.2006 14:48 401.920 borlndlm.dll
23.02.2006 14:48 0 ~7.tmp
23.02.2006 14:48 702 MSI48153.LOG
23.02.2006 14:43 0 ~1.tmp
23.02.2006 14:19 0 ~E.tmp
23.02.2006 13:51 4.928 MSIce7fe.LOG
23.02.2006 13:51 456 MSIc9af8.LOG
23.02.2006 10:46 1.609 vminst.log
23.02.2006 09:49 20.162 MSI4b5a2.LOG
22.02.2006 22:19 103.756 17B6EC.dmp.txt
22.02.2006 22:19 17.922 b209_appcompat.txt
22.02.2006 20:27 0 TWAIN.LOG
19.02.2006 03:52 113 50829A7B.TMP
16.02.2004 18:05 6.573.568 39ba32.msi
16.02.2004 18:05 6.573.568 3d746c.msi
18 Datei(en) 13.699.817 Bytes
0 Verzeichnis(se), 44.696.236.032 Bytes frei

Silent Runners geht leider nicht, weil die winmgmt vom comctl32.dll/ntdll.dll Hook abgefangen wird, es ereilt das gleiche Schicksal wie apt.exe und port explorer.exe. Laut Filemon scheinen diese Dateien auch eine Rolle zu spielen:
C:\WINDOWS\AppPatch\sysmain.sdb und AcGenral.dll.
Ein Buffer Overflow; meist spielt die ntdll.dll auch eine Hauptrolle.

Wie auch hier beim Absturz von Adinf:



Und eins der größten undefinierbaren Übel, die seit Jahren überdauern, datastreams:



Zu guter letzt sieht man die Wurzel allen Übels, wie sie sämtliche Firewalls hooked.





was auch immer das ist, es sieht unheimlich aus.

#8 POste bitte auch noch ein Hijackthis log(silentrunners auch)....
__________
MfG Ralf
SEO-Spam Hunter

#9 Logfile of HijackThis v1.99.1
Scan saved at 10:34:49, on 24.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe[img]
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
C:\Programme\Tiny Firewall Pro\UmxAgent.exe
C:\Programme\Tiny Firewall Pro\UmxTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\GhostSecuritySuite\gss.exe
C:\Programme\GhostSecuritySuite\gss.exe
C:\Programme\Tiny Firewall Pro\amon.exe
C:\Programme\ADinf\KDMVFDJN.EXE
C:\Programme\ADinf\AD_AGENT.exe
C:\Programme\ProcessGuard\dcsuserprot.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ProcessGuard\procguard.exe
C:\Programme\ProcessGuard\pgaccount.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\depends21_x86\depends.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Jasc Software Inc\Paint Shop Pro 7\psp.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [GhostSecuritySuite] "C:\Programme\GhostSecuritySuite\gss.exe" -minimize
O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe
O4 - HKCU\..\Run: [ADinf32] "C:\Programme\ADinf\KDMVFDJN.EXE" "-a"
O4 - HKCU\..\Run: [AD_SCHED] "C:\Programme\Gemeinsame Dateien\ADT Shared\Scheduler\ADSched.exe"
O4 - HKCU\..\Run: [AD_AGENT] "C:\Programme\ADinf\AD_AGENT.exe"
O17 - HKLM\System\CCS\Services\Tcpip\..\{2FEC0EE1-5B50-44C6-904E-17623A14EE1C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B72F33-DC29-47BD-B40F-C7250DD7E08B}: NameServer = 192.168.0.1,192.168.0.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9F4264-BD5C-4817-A40F-264AD959B808}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DBC5A-93B9-4585-8FA0-2E3275C17D1D}: NameServer = 192.168.0.1,192.168.0.4
O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe
O23 - Service: HFHYMYFNBXXF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ASLHZL~1\LOKALE~1\Temp\HFHYMYFNBXXF.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe
O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe
O23 - Service: FW Policy Manager (UmxPol) - Compu[/img]ter Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe
O23 - Service: YPRMHTJOGK - Unknown owner - C:\DOKUME~1\MGTKLT~1\LOKALE~1\Temp\YPRMHTJOGK.exe (file missing)

Silent Runners geht nicht, vermutlich wmimgmt BO.

Nachdem ich im BIOS acpi abschalte geht kurzzeitig die Tastatur nicht mehr, nach einem Neustart geht sie dann plötzlich wieder, nur so zur Info.
Ab und an erscheint nachdem Neustart kurzzeitg im Dosmodus NVIDia Raid Drivers, obwohl alle RAIDVerbunde deaktiviert sind, benutze nur P-Ata.

Was hälst du hiervon? Diese vielen @@ das sind doch streams oder?



Was auch auffällt, daß ab und zu der Text, wie hier im Editor oder in Notepad kurzzeitig hochspringt, es sieht wie ein verrutschen aus.

Hier noch etwas, ist aber glaube ich weniger wichtig. Scheint auf meinem
Amd 3500 wohl generell nicht zu laufen.


Dann noch eine Frage, ist das normal, daß die msvcp60.dll soviele Streams hat?


Noch was gefunden, was mir ungewöhnlich vorkam

#10 ADS kannst du am besten mit Hijackthis finden. Das was als erstes auffaellt ist, das du 2 Firewalls aktiv hast,. einmal von CA und Tiny. Dann noch Processguard, Appdefender und adinf. Du solltest dich bei beiden fuer eines entscheiden. Ein AV Programm seh ich gar nicht.

So wie du dich bis jetzt da hineingesteigert hast, wuerde ich dir um alle evtl.taeten auszuschliessen alles platt machen und von vorne mit reduzierten Umfang neu aufsetzen.

DU nutzt grosse (Sata) Festplatten?
__________
MfG Ralf
SEO-Spam Hunter

#11 Ich nutze nur IDE Platten, keine S-Ata, nur 160 GB Platte, 80 GB Platte extern.

Virenscanner nod32 findet aber nichts ungewöhnliches, außerdem was sollen die Virenscanner gegen Rootkits ausrichten..


Ich habe ein CMOS Clear mehrmals gemacht, komischerweise steht der MemCore nicht wie früher auf START, sondern auf 2.65 V, trotz CMOS reset.

Wenn die Streams überleben hilft alles Plattmachen nichts, wie du siehst handelt es sich um einen Stealth Virus.

Besitzt deine NTDLL.DLL etwa auch einen ASPACK string? Wohl kaum oder?

Ich vermute, daß es russische Eindringlinge versuchen, da schon mehrmals IPs aus Rußland auch aus früheren Installationen ersichtlich waren.

Schau mal das, die ntdll.dll und kernel32.dll mischen sich in jeden Process ein,
von notepad bis firefox:

Normal sollte da in filemon ein firefox symbol erscheinen, allerdings ist ja schon alles gehooked.

Schau mal hier ntoskrnl patch ist das meiner Ansicht nach oder hat windows grundsätzlich unbekannte Komponenten, schau nochmal auf das Linux Bild,
Disk: unknown, diese ist auch da, wenn die Festplatte aus dem System ist!

[/img]

#12 Natuerlich besitzt meine NTDLL.DLL einen ASPACK String, das haben alle!

---cut---
°t‼j◘hñıÆ|VÞ¯V■ â─♀ëE◘ïF♀♥├â}◘ t)â}° ☼ä&±☺ ÃE◘☺ ☼ÀG♠ E³âã(9E³rê2└_^[╔┬♦ ░☺Ù§É.
aspack .pcle .sforce ╠╠╠╠╠╠ÉÉÉÉÉj@hÏÍÆ|Þ ↨ dí↑ ìEÏPj j☺ïE◘ p↑Þz2 ëE╝à└☼ä¹┘
---cut---
Das bedeutet nur, das es in der Datei eine Zeichenfolge ASPACK gibt, nichts anderes. Das bedeutet noch lange nicht, das das ASPACk gepackt ist.

Streams ueberleben keine Formatierungen, irgendwo muessen sich die Stream ja anhaengen koennen. http://heysoft.de/Frames/f_faq_ads_de.htm

Wenn du das Cmos loescht, wird der Bereich wieder mit Standardeintraegen beschrieben.
__________
MfG Ralf
SEO-Spam Hunter

#13 Immerhin gut zu wissen, daß das nichts mit Aspack zu tun hat.

Dann hat Nvidia ein neuen Standardeintrag seit dem letzten Biosflash, denn früher stand es immer auf Start.

Das Problem ist doch, daß ich dann alle Dateien zerstören müßte, ich müßte alle meine Dokumente und Programme vernichten, auf D überleben die Streams.

#14 Nein, Deine Daten kannst du behalten, nur die Programme solltest du neu aufspielen.......

Du kannst dafuer schoen deine Externe Platte nehmen.
__________
MfG Ralf
SEO-Spam Hunter

#15 Der größte Alptraum ist hier im System, jetzt kommt der Oberknaller, ich drücke auf Outlook und lauter gelöschte EMails erscheinen von der letzten Windows Version,
von der formatierten Festplatte, wie geht das? Ich habe nur einen Email Account seit dem letzten Format vor ein paar Tagen in Outlook erstellt gehabt, komischerweise erscheinen aber alle Mails von dem Account der vorherigen Windows Version als neu im gelöschten Ordner. Das gelöschte wandert nicht ins Nirvana, es wird irgendwo zwischengelagert oder hatte ich einen Blackout und habe meinen alten Account kurz erstellt, alle Mails abgerufen und wieder gelöscht?
Was klingt logischer? Adin32 kann doch kaum soviel Fehlalarme bringen.

File Infection oder irgendsoetwas könnte es noch sein.
Schon seltsam.