Stealth Virus im Bios |
||
---|---|---|
#0
| ||
22.02.2006, 11:05
Member
Beiträge: 21 |
||
|
||
22.02.2006, 17:09
Moderator
Beiträge: 7805 |
#2
Wau, es gibt noch Adinf User! Das habe ich lange nicht mehr gesehen, ich wusste nicht mal, das das noch weiterentwickelt wird.
Diese Meldung hat nichts mit Bios zu tun. Adinf versucht auf 2 Arten Informationen ueber eine Datei zu bekommen und vergleicht diese Informatioenen miteinander. Einmal den Zugriff ueber das Betriebssystem und einmal ueber das Bios( also es umgeht das Betriebssystem). Man kann es auch als eine Art Rootkiterkennung ansehen. Tiny Firewall scheint wohl einige Techniken zu nutzen um sich zu schuetzen, das bringt Adinf wohl durcheinander. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.02.2006, 11:25
Member
Themenstarter Beiträge: 21 |
#3
Hm, das wäre schön, wenn es nur das wäre, aber wieso passiert dann auch das?
Und wie sieht es hiermit aus, ist das auch normal, daß wenn man fixmbr hintereinander macht, daß dennoch immer wieder die Meldung erscheint: Mbr scheint ungültig zu sein, obwohl er angeblich neu geschrieben wurde? Wie sieht es damit aus? Normal? Was sagen die Experten? Und hiermit: Wäre interessant, dazu einige Meinungen zu hören.[/img] |
|
|
||
23.02.2006, 12:47
Moderator
Beiträge: 7805 |
#4
Du faehrst da ziemlich viel auf einmal auf. Wenn du da irgendwie Ordnung reinbringen moechtest, solltest du solche Tools nicht alle zugleich installiert haben. Besonders bei appdefender sollte man wissen, was es meldet.
Um Probleme Lokalisieren zu koennen, solltest du Schritt fuer Schritt vorgehen. Sprich alles an Programmen die im Hintergrund Rumwerkeln deaktivieren, oder besser deinstallieren und erstmal mit Programmen wie Blacklight, Rootkitrevealer und vieleicht noch mit SVV arbeiten. Wenn du bereits so eine "Panik" hast, kannst du immer noch neu aufsetzen und entsprechende Kontrolle machen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.02.2006, 15:15
Member
Themenstarter Beiträge: 21 |
#5
Svv zeigt folgendes
Ich vermute, daß die Hooks von process guard, antihook & Co. kommen, allerdings, daß es Probleme hat Ntoskrnl.exe zu finden, sieht seltsam aus, da der Kernel ja ganz normal im Systemverzeichnis ist. Übrigens erscheint diese Ntoskrnl Meldung auch ohne die ganzen installierten Programme, habe ich schon getestet. Es gibt sowohl ntkrnlpa.exe, als auch ntoskrnl.exe, beide sind vorhanden. Blacklight inkl. Unhack Me finden nichts. Was Blacklight und Unhack Me finden, kann ich auch selber finden. Eins ist jedenfalls sicher Port Explorer und Apt werden von etwas unsichtbarem gekillt.(laut Ghost und Antihook ist es csrss.exe, die aber dazu von comctl32.dll aufgefordert bzw. umgeleitet wurde, so glaube ich) Im Eventmanager steht [img]unknown, aber da der Eventmanager von der msvcp60.dll abhängt und die im Fall der Fälle eh gehookt ist, kann man auf die Ergebnisse dann nicht mehr soviel geben. Rootkit Revealer findet vereinzelt was, aber meist eher unwichtigerer Natur. Aktuell findet er gerade das: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 23.02.2006 15:09 4 bytes Data mismatch between Windows API and raw hive data. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 20.02.2006 15:28 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 20.02.2006 15:28 111.50 KB Visible in Windows API, but not in MFT or directory index. Noch etwas Wenn ich bei Rkdetector auf Recovery, zeigt er immer an: Lost+Found: DIR 01/01/1600 00:00 MFT 0X1 (sieht komisch aus, aber wird wohl kaum was zu sagen haben, ich dachte ich erwähne es am Rande) Schon ein krasses Datum 1600, bei Windows gehts normal nur bis 1985.[/img] Dieser Beitrag wurde am 23.02.2006 um 23:54 Uhr von EternalLight editiert.
|
|
|
||
23.02.2006, 18:39
Moderator
Beiträge: 7805 |
#6
Ja, das mit Diamondcs APT ist das schon etwas sonderbar oben in dem Bild dachte ich erst appdefender haette einen Fehler in der Zuordnung, wer was beenden will.
Wenn du moechtest, kannst du weitere Informationen posten, wie Hijackthis, silentrunners, WINPFIND logs und datfindbat: http://virus-protect.org/datfindbat.html http://virus-protect.org/silentrunner.html http://virus-protect.org/winpfind.html Am allerbesten die gesamten Logs mit zip oder rar packen und anhaengen, anstatt sie zu posten. Das wuerde das Posting wohl sprengen.. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.02.2006, 22:46
Member
Themenstarter Beiträge: 21 |
#7
Übrigens der neueste Alarm von Adinf:
Ich habe außerdem mal eine Linux CDRom reingelegt und frage mich nun ob diese Disk hier normal ist, die zusätzlich zur Festplatte erscheint, Disk(unknown). Ohne ACPI läuft diese Windows Version nicht, wenn ich ACPI im Bios deaktiviere geht nichts, abgesehen von Linux. Suspekt ist auch Service: Shared Access, startet immer wieder auf automatisch, obwohl ich es jedesmal wieder deaktiviere! Danke vorab für die Links, ich versuche ein wenig zu kürzen, da ich nicht weiß, wie und wo ich da zippen muß. Ein paar Dateien, die mir selber suspekt vorkamen, habe ich mit <<<< markiert »»»»»»»»»»»»»»»»» Windows OS and Versions »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Product Name: Microsoft Windows XP Current Build: Service Pack 2 Current Build Number: 2600 Checking %ProgramFilesDir% folder... Checking %WinDir% folder... Umonitor 19.02.2006 16:54:44 86513 C:\WINDOWS\pxinstall_log.txt Checking %System% folder... PEC2 04.08.2004 13:00:00 41118 C:\WINDOWS\SYSTEM32\dfrg.msc PEC2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll PECompact2 09.06.2005 21:32:28 692736 C:\WINDOWS\SYSTEM32\DivX.dll aspack 04.08.2004 13:00:00 733696 C:\WINDOWS\SYSTEM32\ntdll.dll <<<<<<<<<<<<<<<<??aspacked!? Umonitor 04.08.2004 13:00:00 686592 C:\WINDOWS\SYSTEM32\rasdlg.dll winsync 04.08.2004 13:00:00 1309184 C:\WINDOWS\SYSTEM32\wbdbase.deu PEC2 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG PECompact2 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG aspack 18.02.2006 12:08:34 6395976 C:\WINDOWS\LCG [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] SysTray {35CEC8A3-2BE6-11D2-8773-92E220524153} = C:\WINDOWS\system32\stobject.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum {BDEADF00-C265-11D0-BCED-00A0C90AB50F} = C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL {6DFD7C5C-2451-11d3-A299-00C04F8EF6AF} = {0DF44EAA-FF21-4412-828E-260A8728E7F1} = HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser {01E04581-4EEE-11D0-BFE9-00AA005B4383} = &Adresse : %SystemRoot%\system32\browseui.dll {0E5CBF21-D15F-11D0-8301-00AA005B4383} = &Links : %SystemRoot%\system32\SHELL32.dll {2318C2B1-4965-11D4-9B18-009027A5CD4F} = &Google : c:\programme\google\googletoolbar2.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{4D5C8C25-D075-11d0-B416-00C04FB90376} &Tipps und Tricks = %SystemRoot%\system32\shdocvw.dll Checking the Windows folder and sub-folders for system and hidden files within the last 60 days... 23.02.2006 21:12:54 S 2048 C:\WINDOWS\bootstat.dat 18.02.2006 11:43:48 RH 749 C:\WINDOWS\WindowsShell.Manifest 18.02.2006 12:26:52 RHS 227 C:\WINDOWS\assembly\Desktop.ini 20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\PublisherPolicy.tme 20.02.2006 15:28:36 RH 0 C:\WINDOWS\assembly\pubpol1.dat 20.02.2006 16:37:54 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1b.dat 20.02.2006 16:37:56 RH 0 C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\index1c.dat 18.02.2006 11:43:52 H 65 C:\WINDOWS\Downloaded Program Files\desktop.ini 18.02.2006 11:44:22 HS 67 C:\WINDOWS\Fonts\desktop.ini 21.02.2006 06:34:22 H 10820 C:\WINDOWS\Help\update.GID 18.02.2006 11:43:52 H 65 C:\WINDOWS\Offline Web Pages\desktop.ini 18.02.2006 11:44:08 RHS 765 C:\WINDOWS\pchealth\helpctr\PackageStore\package_1.cab Also beim Sys & C Verzeichnis versuch ich nur das Auffälligste rauszusuchen. System32 18.02.2006 13:44 8 probtp51.cnt 18.02.2006 11:46 261 $winnt$.inf 18.02.2006 11:44 2.951 CONFIG.NT 18.02.2006 11:44 23.392 nscompat.tlb 18.02.2006 11:44 16.832 amcompat.tlb 18.02.2006 11:43 488 WindowsLogon.manifest 18.02.2006 11:43 488 logonui.exe.manifest 18.02.2006 11:43 749 cdplayer.exe.manifest 18.02.2006 11:43 749 nwc.cpl.manifest 18.02.2006 11:43 749 ncpa.cpl.manifest 18.02.2006 11:43 749 sapi.cpl.manifest 18.02.2006 11:43 749 wuaucpl.cpl.manifest 18.02.2006 11:42 21.740 emptyregdb.dat 18.02.2006 11:39 0 h323log.txt 19.02.2006 14:43 270.336 imon.dll 19.02.2006 14:13 43.573 nvapps.xml 23.02.2006 21:53 62.832 pguard.dat 22.02.2006 20:47 972 inst.log 22.02.2006 10:14 114.968 FNTCACHE.DAT <<<<<<< 20.02.2006 18:58 403.748 perfh009.dat 20.02.2006 18:58 63.554 perfc009.dat 20.02.2006 18:58 418.154 perfh007.dat 20.02.2006 18:58 967.170 PerfStringBackup.INI 20.02.2006 18:58 76.206 perfc007.dat 20.02.2006 12:21 78.692 pghash.dat 18.04.2003 16:46 1.233.920 msxml4.dll 18.04.2003 16:29 82.432 msxml4r.dll 18.03.2003 21:12 1.047.552 mfc71u.dll 18.03.2003 21:05 89.088 atl71.dll 21.02.2003 04:42 348.160 msvcr71.dll 20.02.2003 19:16 32.768 netfxperf.dll 03.04.2002 14:37 290.816 l3codeca.acm 19.03.2002 17:30 21.504 phototoys.dll 19.03.2002 17:30 5.528 PowerToyReadme.htm 05.01.2002 02:48 974.848 mfc70.dll 05.01.2002 02:40 487.424 msvcp70.dll 05.01.2002 02:38 54.784 msvci70.dll 05.01.2002 02:36 964.608 mfc70u.dll 05.01.2002 01:37 344.064 msvcr70.dll 09.07.2001 10:50 155.648 NeroCheck.exe 14.06.2001 19:48 520.267 libmmd.dll 12.03.2001 17:07 260.096 richtx32.ocx 26.06.2000 10:45 106.496 TwnLib20.dll 22.05.2000 16:58 244.416 msflxgrd.ocx 22.05.2000 16:58 647.872 mscomct2.ocx 22.05.2000 16:58 140.488 comdlg32.ocx 09.08.1999 14:40 163.600 wmaudsdk.dll 09.08.1999 14:39 14.832 asfsipc.dll 12.03.1999 14:31 7.440 sporder.dll 29.07.2004 00:14 8.704 spmsg.dll 26.07.2004 16:16 262.144 ImagXR7.dll 26.07.2004 16:16 471.040 ImagXRA7.dll 26.07.2004 16:16 476.320 ImagXpr7.dll 26.07.2004 16:16 1.568.768 ImagX7.dll 12.07.2004 02:10 499.712 msvcp71.dll 21.05.2004 06:00 7.680 CNMVS66.DLL 21.05.2004 06:00 116.736 CNMLM66.DLL 10.05.2004 21:05 44.544 jgaw400.dll 10.05.2004 21:05 167.936 jgdw400.dll 10.05.2004 21:05 153.088 jgdwmie.dll 10.05.2004 21:05 35.840 jgmd400.dll 10.05.2004 21:05 42.496 jgpl400.dll 10.05.2004 21:05 45.568 jgsd400.dll 10.05.2004 21:05 65.536 jgsh400.dll 10.05.2004 21:05 54.784 Inetwh32.dll 10.05.2004 21:05 1.044.480 roboex32.dll 10.05.2004 21:05 29.184 popup.ocx 10.05.2004 21:05 1.060.864 mfc71.dll 26.04.2004 03:02 28.672 ADinf32.cpl 08.04.2004 06:03 225.280 AOLDial.dll 11.03.2004 17:06 86.016 CNMCP66.exe 02.10.2003 11:15 61.440 xcomm.dll 09.06.2005 21:32 692.736 DivX.dll 06.06.2005 22:13 356.436 DivXMedia.ax 29.05.2005 00:35 692.224 divxdec.ax 24.05.2005 22:32 10.775 dsm_ja.qm 24.05.2005 22:32 15.153 dsm_fr.qm 24.05.2005 22:32 15.351 dsm_de.qm 24.05.2005 22:32 4.276 divxsm.tlb 24.05.2005 22:32 524.288 DivXsm.exe 20.05.2005 19:25 3.136 dtu_de.qm 18.05.2005 22:40 200.704 dtu100.dll 05.05.2005 02:12 671.744 divx_xx11.dll 05.05.2005 02:12 688.128 divx_xx0c.dll 05.05.2005 02:12 688.128 divx_xx07.dll 28.04.2005 05:22 3.596.288 qt-dx331.dll 28.04.2005 05:22 57.344 dpv11.dll 28.04.2005 05:22 303.104 dpus11.dll 28.04.2005 05:22 581.632 dpuGUI11.dll 28.04.2005 05:22 8.523 dpude.qm 28.04.2005 05:22 245.760 dpu11.dll 28.04.2005 05:22 86.016 dpl100.dll 28.04.2005 05:22 245.408 unicows.dll 28.04.2005 05:22 159.744 ssleay32.dll 28.04.2005 05:22 831.488 libeay32.dll 06.04.2005 02:19 201.728 fdco1.dll 06.04.2005 02:19 201.728 fdco1ins.dll 06.04.2005 02:19 9.728 bdco1ins.dll 06.04.2005 02:19 9.728 bdco1.dll 04.04.2005 18:00 32.256 nvconrm.dll 04.04.2005 17:59 176.128 nvunrm.exe 13.02.2005 20:15 225.280 VSFLEX3.OCX 13.02.2005 20:15 37.376 VEN2232.OLB 13.02.2005 20:15 40.960 VBAME.DLL 13.02.2005 20:15 24.848 VBAEND32.OLB 13.02.2005 20:15 24.848 VBAEN32.OLB 13.02.2005 20:15 27.612 VBADE32.OLB 13.02.2005 20:15 15.872 SCP32.DLL 13.02.2005 20:15 151.552 RDOCURS.DLL 13.02.2005 20:15 397.312 MSRDO20.DLL 13.02.2005 20:15 94.208 MSSTKPRP.DLL 13.02.2005 20:15 118.784 MSSTDFMT.DLL 13.02.2005 20:15 8.192 MSPRPDE.DLL 13.02.2005 20:15 1.077.344 MSCOMCTL.OCX 13.02.2005 20:15 57.344 MFC42DEU.DLL (die standard Sysfiles ausgelassen) C:\ 04.08.2004 13:00 251.184 ntldr 04.08.2004 13:00 4.952 bootfont.bin 04.08.2004 13:00 47.564 NTDETECT.COM 08.02.2006 13:24 1.443.392 procexp.exe 01.02.2006 17:02 237.651 RootkitRevealer.exe 22.01.2006 15:51 57.344 modgreper.exe 22.01.2006 15:13 4.608 modgreper.sys 18.02.2006 11:44 0 CONFIG.SYS 18.02.2006 11:44 0 MSDOS.SYS 18.02.2006 11:44 0 AUTOEXEC.BAT 18.02.2006 11:44 0 IO.SYS 21.02.2006 08:11 29 dfinstall.log 20.02.2006 16:26 111.514 Filemon.LOG 20.02.2006 15:26 411.898 dd_netfx20MSI04B4.txt 18.02.2006 19:32 52 driver.ini 18.02.2006 19:31 5.632 VICESYS.sys 18.02.2006 19:31 159.744 ViceConsole.exe 18.02.2006 13:50 136 RootkitReveal_0 Found.txt 18.02.2006 13:07 212 boot.ini 23.02.2006 21:12 1.610.612.736 pagefile.sys Datentr„ger in Laufwerk C: ist FESTPLATTE Volumeseriennummer: 949C-9114 Verzeichnis von C:\WINDOWS 23.02.2006 21:28 623 win.ini 23.02.2006 21:13 26.183 setupapi.log 23.02.2006 21:13 0 0.log 23.02.2006 21:12 2.048 bootstat.dat 23.02.2006 17:39 291.274 ntbtlog.txt 23.02.2006 15:56 159 wiadebug.log 23.02.2006 15:56 50 wiaservc.log 23.02.2006 15:52 8.162 SchedLgU.Txt 23.02.2006 14:27 956 WindowsUpdate.log 22.02.2006 21:38 107.132 UninstallFirefox.exe 22.02.2006 21:38 2.258 mozver.dat 22.02.2006 16:39 0 setuperr.log 22.02.2006 16:39 0 setupact.log 22.02.2006 13:43 69 NeroDigital.ini 22.02.2006 09:29 0 Sti_Trace.log 22.02.2006 09:25 400 ODBC.INI 21.02.2006 14:09 0 OpPrintServer.INI 21.02.2006 10:13 316.640 WMSysPr9.prx 18.02.2006 12:08 6.395.976 LCG 20.02.2006 13:31 1.072 Sandboxie.ini 19.02.2006 16:54 86.513 pxinstall_log.txt 19.02.2006 13:30 335 nsreg.dat 18.02.2006 11:44 0 control.ini 18.02.2006 11:44 4.161 ODBCINST.INI 18.02.2006 11:43 749 WindowsShell.Manifest 18.02.2006 11:42 36 vb.ini 18.02.2006 11:42 37 vbaddin.ini 18.02.2006 11:35 231 system.ini 04.08.2004 13:00 65.954 Pr„riewind.bmp 04.08.2004 13:00 153.600 regedit.exe 04.08.2004 13:00 17.362 Rhododendron.bmp 04.08.2004 13:00 1.014.663 SET3.tmp 04.08.2004 13:00 1.086.058 SET4.tmp 04.08.2004 13:00 26.582 Granit.bmp 04.08.2004 13:00 80 explorer.scf 04.08.2004 13:00 1.035.264 explorer.exe 04.08.2004 13:00 2 desktop.ini 04.08.2004 13:00 17.062 Kaffeetasse.bmp 04.08.2004 13:00 10.752 hh.exe 04.08.2004 13:00 15.872 TASKMAN.EXE 04.08.2004 13:00 94.800 twain.dll 04.08.2004 13:00 50.688 twain_32.dll 04.08.2004 13:00 49.680 twunk_16.exe 04.08.2004 13:00 25.600 twunk_32.exe 04.08.2004 13:00 82.944 clock.avi 04.08.2004 13:00 17.336 Angler.bmp 04.08.2004 13:00 70.144 NOTEPAD.EXE 04.08.2004 13:00 18.944 vmmreg32.dll 04.08.2004 13:00 1.272 Blaue Spitzen 16.bmp 04.08.2004 13:00 34.818 wmprfDEU.prx 04.08.2004 13:00 9.522 Zapotek.bmp 04.08.2004 13:00 1.405 msdfmap.ini 04.08.2004 13:00 14.043 SET8.tmp 04.08.2004 13:00 257.568 winhelp.exe 04.08.2004 13:00 288.768 winhlp32.exe 04.08.2004 13:00 48.680 winnt.bmp 04.08.2004 13:00 48.680 winnt256.bmp 04.08.2004 13:00 707 _default.pif 14.01.2004 02:10 163.840 BJPSUNST.EXE 17.11.1998 13:44 328.704 IsUn0407.exe 29.10.1998 16:45 306.688 IsUninst.exe 67 Datei(en) 7.752.172 Bytes 0 Verzeichnis(se), 44.696.231.936 Bytes frei Datentr„ger in Laufwerk C: ist FESTPLATTE Volumeseriennummer: 949C-9114 Verzeichnis von C:\DOKUME~1\MGTKLT~1\LOKALE~1\Temp 23.02.2006 21:22 3 Twain001.Mtx 23.02.2006 14:50 470 MSI8a6cc.LOG 23.02.2006 14:49 640 bdemerge.ini 23.02.2006 14:48 401.920 borlndlm.dll 23.02.2006 14:48 0 ~7.tmp 23.02.2006 14:48 702 MSI48153.LOG 23.02.2006 14:43 0 ~1.tmp 23.02.2006 14:19 0 ~E.tmp 23.02.2006 13:51 4.928 MSIce7fe.LOG 23.02.2006 13:51 456 MSIc9af8.LOG 23.02.2006 10:46 1.609 vminst.log 23.02.2006 09:49 20.162 MSI4b5a2.LOG 22.02.2006 22:19 103.756 17B6EC.dmp.txt 22.02.2006 22:19 17.922 b209_appcompat.txt 22.02.2006 20:27 0 TWAIN.LOG 19.02.2006 03:52 113 50829A7B.TMP 16.02.2004 18:05 6.573.568 39ba32.msi 16.02.2004 18:05 6.573.568 3d746c.msi 18 Datei(en) 13.699.817 Bytes 0 Verzeichnis(se), 44.696.236.032 Bytes frei Silent Runners geht leider nicht, weil die winmgmt vom comctl32.dll/ntdll.dll Hook abgefangen wird, es ereilt das gleiche Schicksal wie apt.exe und port explorer.exe. Laut Filemon scheinen diese Dateien auch eine Rolle zu spielen: C:\WINDOWS\AppPatch\sysmain.sdb und AcGenral.dll. Ein Buffer Overflow; meist spielt die ntdll.dll auch eine Hauptrolle. Wie auch hier beim Absturz von Adinf: Und eins der größten undefinierbaren Übel, die seit Jahren überdauern, datastreams: Zu guter letzt sieht man die Wurzel allen Übels, wie sie sämtliche Firewalls hooked. was auch immer das ist, es sieht unheimlich aus. Dieser Beitrag wurde am 24.02.2006 um 00:14 Uhr von EternalLight editiert.
|
|
|
||
24.02.2006, 05:51
Moderator
Beiträge: 7805 |
#8
POste bitte auch noch ein Hijackthis log(silentrunners auch)....
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.02.2006, 11:55
Member
Themenstarter Beiträge: 21 |
#9
Logfile of HijackThis v1.99.1
Scan saved at 10:34:49, on 24.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe[img] C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe C:\Programme\Tiny Firewall Pro\UmxAgent.exe C:\Programme\Tiny Firewall Pro\UmxTray.exe C:\WINDOWS\Explorer.EXE C:\Programme\GhostSecuritySuite\gss.exe C:\Programme\GhostSecuritySuite\gss.exe C:\Programme\Tiny Firewall Pro\amon.exe C:\Programme\ADinf\KDMVFDJN.EXE C:\Programme\ADinf\AD_AGENT.exe C:\Programme\ProcessGuard\dcsuserprot.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ProcessGuard\procguard.exe C:\Programme\ProcessGuard\pgaccount.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\depends21_x86\depends.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Jasc Software Inc\Paint Shop Pro 7\psp.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [GhostSecuritySuite] "C:\Programme\GhostSecuritySuite\gss.exe" -minimize O4 - HKCU\..\Run: [AMonitor] C:\Programme\Tiny Firewall Pro\amon.exe O4 - HKCU\..\Run: [ADinf32] "C:\Programme\ADinf\KDMVFDJN.EXE" "-a" O4 - HKCU\..\Run: [AD_SCHED] "C:\Programme\Gemeinsame Dateien\ADT Shared\Scheduler\ADSched.exe" O4 - HKCU\..\Run: [AD_AGENT] "C:\Programme\ADinf\AD_AGENT.exe" O17 - HKLM\System\CCS\Services\Tcpip\..\{2FEC0EE1-5B50-44C6-904E-17623A14EE1C}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3B72F33-DC29-47BD-B40F-C7250DD7E08B}: NameServer = 192.168.0.1,192.168.0.3 O17 - HKLM\System\CCS\Services\Tcpip\..\{AD9F4264-BD5C-4817-A40F-264AD959B808}: NameServer = 205.188.146.145 O17 - HKLM\System\CCS\Services\Tcpip\..\{B49DBC5A-93B9-4585-8FA0-2E3275C17D1D}: NameServer = 192.168.0.1,192.168.0.4 O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: DiamondCS Process Guard Service v3.000 (DCSPGSRV) - DiamondCS - C:\Programme\ProcessGuard\dcsuserprot.exe O23 - Service: HFHYMYFNBXXF - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ASLHZL~1\LOKALE~1\Temp\HFHYMYFNBXXF.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: FW Event Manager (UmxAgent) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxAgent.exe O23 - Service: FW Configuration Interpreter (UmxCfg) - Computer Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe O23 - Service: FW User-Mode Helper (UmxFwHlp) - Computer Associates International, Inc. - C:\Programme\Tiny Firewall Pro\UmxFwHlp.exe O23 - Service: FW Policy Manager (UmxPol) - Compu[/img]ter Associates International, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe O23 - Service: YPRMHTJOGK - Unknown owner - C:\DOKUME~1\MGTKLT~1\LOKALE~1\Temp\YPRMHTJOGK.exe (file missing) Silent Runners geht nicht, vermutlich wmimgmt BO. Nachdem ich im BIOS acpi abschalte geht kurzzeitig die Tastatur nicht mehr, nach einem Neustart geht sie dann plötzlich wieder, nur so zur Info. Ab und an erscheint nachdem Neustart kurzzeitg im Dosmodus NVIDia Raid Drivers, obwohl alle RAIDVerbunde deaktiviert sind, benutze nur P-Ata. Was hälst du hiervon? Diese vielen @@ das sind doch streams oder? Was auch auffällt, daß ab und zu der Text, wie hier im Editor oder in Notepad kurzzeitig hochspringt, es sieht wie ein verrutschen aus. Hier noch etwas, ist aber glaube ich weniger wichtig. Scheint auf meinem Amd 3500 wohl generell nicht zu laufen. Dann noch eine Frage, ist das normal, daß die msvcp60.dll soviele Streams hat? Noch was gefunden, was mir ungewöhnlich vorkam |
|
|
||
24.02.2006, 12:19
Moderator
Beiträge: 7805 |
#10
ADS kannst du am besten mit Hijackthis finden. Das was als erstes auffaellt ist, das du 2 Firewalls aktiv hast,. einmal von CA und Tiny. Dann noch Processguard, Appdefender und adinf. Du solltest dich bei beiden fuer eines entscheiden. Ein AV Programm seh ich gar nicht.
So wie du dich bis jetzt da hineingesteigert hast, wuerde ich dir um alle evtl.taeten auszuschliessen alles platt machen und von vorne mit reduzierten Umfang neu aufsetzen. DU nutzt grosse (Sata) Festplatten? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.02.2006, 10:55
Member
Themenstarter Beiträge: 21 |
#11
Ich nutze nur IDE Platten, keine S-Ata, nur 160 GB Platte, 80 GB Platte extern.
Virenscanner nod32 findet aber nichts ungewöhnliches, außerdem was sollen die Virenscanner gegen Rootkits ausrichten.. Ich habe ein CMOS Clear mehrmals gemacht, komischerweise steht der MemCore nicht wie früher auf START, sondern auf 2.65 V, trotz CMOS reset. Wenn die Streams überleben hilft alles Plattmachen nichts, wie du siehst handelt es sich um einen Stealth Virus. Besitzt deine NTDLL.DLL etwa auch einen ASPACK string? Wohl kaum oder? Ich vermute, daß es russische Eindringlinge versuchen, da schon mehrmals IPs aus Rußland auch aus früheren Installationen ersichtlich waren. Schau mal das, die ntdll.dll und kernel32.dll mischen sich in jeden Process ein, von notepad bis firefox: Normal sollte da in filemon ein firefox symbol erscheinen, allerdings ist ja schon alles gehooked. Schau mal hier ntoskrnl patch ist das meiner Ansicht nach oder hat windows grundsätzlich unbekannte Komponenten, schau nochmal auf das Linux Bild, Disk: unknown, diese ist auch da, wenn die Festplatte aus dem System ist! [/img] Dieser Beitrag wurde am 25.02.2006 um 11:16 Uhr von EternalLight editiert.
|
|
|
||
25.02.2006, 11:07
Moderator
Beiträge: 7805 |
#12
Natuerlich besitzt meine NTDLL.DLL einen ASPACK String, das haben alle!
---cut--- °t‼j◘hñıÆ|VÞ¯V■ â─♀ëE◘ïF♀♥├â}◘ t)â}° ☼ä&±☺ ÃE◘☺ ☼ÀG♠ E³âã(9E³rê2└_^[╔┬♦ ░☺Ù§É. aspack .pcle .sforce ╠╠╠╠╠╠ÉÉÉÉÉj@hÏÍÆ|Þ ↨ dí↑ ìEÏPj j☺ïE◘ p↑Þz2 ëE╝à└☼ä¹┘ ---cut--- Das bedeutet nur, das es in der Datei eine Zeichenfolge ASPACK gibt, nichts anderes. Das bedeutet noch lange nicht, das das ASPACk gepackt ist. Streams ueberleben keine Formatierungen, irgendwo muessen sich die Stream ja anhaengen koennen. http://heysoft.de/Frames/f_faq_ads_de.htm Wenn du das Cmos loescht, wird der Bereich wieder mit Standardeintraegen beschrieben. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.02.2006, 11:16
Member
Themenstarter Beiträge: 21 |
#13
Immerhin gut zu wissen, daß das nichts mit Aspack zu tun hat.
Dann hat Nvidia ein neuen Standardeintrag seit dem letzten Biosflash, denn früher stand es immer auf Start. Das Problem ist doch, daß ich dann alle Dateien zerstören müßte, ich müßte alle meine Dokumente und Programme vernichten, auf D überleben die Streams. Dieser Beitrag wurde am 25.02.2006 um 11:32 Uhr von EternalLight editiert.
|
|
|
||
25.02.2006, 11:30
Moderator
Beiträge: 7805 |
#14
Nein, Deine Daten kannst du behalten, nur die Programme solltest du neu aufspielen.......
Du kannst dafuer schoen deine Externe Platte nehmen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.02.2006, 11:32
Member
Themenstarter Beiträge: 21 |
#15
Der größte Alptraum ist hier im System, jetzt kommt der Oberknaller, ich drücke auf Outlook und lauter gelöschte EMails erscheinen von der letzten Windows Version,
von der formatierten Festplatte, wie geht das? Ich habe nur einen Email Account seit dem letzten Format vor ein paar Tagen in Outlook erstellt gehabt, komischerweise erscheinen aber alle Mails von dem Account der vorherigen Windows Version als neu im gelöschten Ordner. Das gelöschte wandert nicht ins Nirvana, es wird irgendwo zwischengelagert oder hatte ich einen Blackout und habe meinen alten Account kurz erstellt, alle Mails abgerufen und wieder gelöscht? Was klingt logischer? Adin32 kann doch kaum soviel Fehlalarme bringen. File Infection oder irgendsoetwas könnte es noch sein. Schon seltsam. Dieser Beitrag wurde am 25.02.2006 um 11:50 Uhr von EternalLight editiert.
|
|
|
||
Kann man ACPI im Bios nicht abschalten so, daß Windows lauffähig bleibt?
Wenn ich es abschalte geht das Windows nicht mehr.