TR/Vundo.Gen - Verzweiflung! |
||
---|---|---|
#0
| ||
21.02.2009, 18:14
Member
Beiträge: 3716 |
#16
das ist schön das du das mit avenger gemacht hast, ich möchte aber die anderen rootkitscann ergebnisse sehen. danke
|
|
|
||
21.02.2009, 18:17
Member
Themenstarter Beiträge: 14 |
#17
Ich glaube ich habe deinen Beitrag falsch verstanden ... ich dachte erstmal den rootskit drüber laufen lassen und dann die unten angegebenen Programme ... sry ich lerne gerade nebenbei und habs über-/verlesen
|
|
|
||
21.02.2009, 18:23
Member
Beiträge: 3716 |
#18
also alle von mir genannten rootkitscanner verwenden (dabei beachten was ich geschrieben hab) die logs posten + neues hijackthis + berichten wie laptop läuft.
|
|
|
||
21.02.2009, 18:40
Member
Themenstarter Beiträge: 14 |
#19
catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2009-02-21 18:30:12 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT BAF9B1EC ZwCreateThread SSDT BAF9B1D8 ZwOpenProcess SSDT BAF9B1DD ZwOpenThread SSDT BAF9B1E7 ZwTerminateProcess SSDT BAF9B1E2 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.14 ---- ? zsliyjz.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- Registry - GMER 1.0.14 ---- Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90 Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000 ---- EOF - GMER 1.0.14 ---- 02/21/09 18:30:38 [Info]: BlackLight Engine 2.2.1092 initialized 02/21/09 18:30:38 [Info]: OS: 5.1 build 2600 (Service Pack 2) 02/21/09 18:30:38 [Note]: 7019 4 02/21/09 18:30:38 [Note]: 7005 0 02/21/09 18:30:46 [Note]: 7006 0 02/21/09 18:30:46 [Note]: 7011 388 02/21/09 18:30:46 [Note]: 7035 0 02/21/09 18:30:46 [Note]: 7026 0 02/21/09 18:30:46 [Note]: 7026 0 02/21/09 18:30:48 [Note]: FSRAW library version 1.7.1024 02/21/09 18:37:23 [Note]: 7007 0 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:37:47, on 21.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\Ati2evxx.exe D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe D:\WINDOWS\Explorer.EXE D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\WINDOWS\ATK0100\HControl.exe D:\Programme\ASUS\ATK Media\DMEDIA.EXE D:\WINDOWS\RTHDCPL.EXE D:\Programme\ASUS\Splendid\ACMON.exe D:\Programme\Synaptics\SynTP\SynTPEnh.exe D:\Programme\Java\jre1.6.0_07\bin\jusched.exe D:\Programme\iTunes\iTunesHelper.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\ATI Technologies\ATI.ACE\CLI.EXE D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe D:\WINDOWS\system32\ACEngSvr.exe D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe D:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe D:\Programme\Bonjour\mDNSResponder.exe D:\Programme\Canon\IJPLM\IJPLMSVC.EXE D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\ATK0100\ATKOSD.exe D:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe D:\Programme\iPod\bin\iPodService.exe D:\WINDOWS\system32\wscntfy.exe D:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe D:\Programme\ATI Technologies\ATI.ACE\cli.exe D:\Programme\Java\jre1.6.0_07\bin\jucheck.exe D:\Programme\Trend Micro\HijackThis\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [HControl] D:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [ATKMEDIA] D:\Programme\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ATICCC] "D:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [ACMON] D:\Programme\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SynTPEnh] D:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe O4 - HKCU\..\Run: [Infium] "D:\Programme\QIP Infium\infium.exe" O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: iTunes.lnk = ? O4 - Startup: Mozilla Thunderbird.lnk = D:\Programme\Mozilla Thunderbird\thunderbird.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: Rainlendar2.lnk = D:\Programme\Rainlendar2\Rainlendar2.exe O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - D:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - D:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe -- End of file - 6280 bytes Also soweit macht mir der Lap nen guten Eindruck. Hakt nicht ... läuft echt gut Soll ich dann jetzt auch Antivir wieder aktivieren? Oder wollte ich ein anderes Programm verwenden ... ich will ja nicht, dass mir sowas nochmal passiert |
|
|
||
21.02.2009, 18:52
Member
Beiträge: 3716 |
#20
antivir an.
n bissel was müssen wir noch machen! start ausfüren combofix /u enter arbeitsplatz, systemsteuerung software deinstaliere und update: Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Reader 8.1.2 - Deutsch www.adobe.com/de/products/reader/ - 32k - Java(TM) 6 Update 7 www.java.com/de/download/manual.jsp - besuche die windows update seite, spiele servicepack 3 und internetexplorer 7 auf, so lange updaten, bis keine wichtigen updates mehr angeboten werden! danach stelle antivir so ein: danach lasse dieses tool laufen, damit alle benutzen programme gelöscht werden: http://www.virus-protect.org/artikel/tools/otmoveIt.html von 1 bis 3 alles durchfüren. http://board.protecus.de/t23979.htm zusätzlich rootkitsuche on updaten, scannen funde in quarantäne log posten. |
|
|
||
21.02.2009, 18:56
Member
Themenstarter Beiträge: 14 |
#21
Zitat virenfinder postetemeinst du damit, dass ich die ganzen programme mit denen ich jetzt gearbeitet habe löschen soll? ich verstehe ansonsten nicht ganz was du mir sagen willst |
|
|
||
21.02.2009, 18:57
Member
Beiträge: 3716 |
#22
es steht doch da was du deinstalieren und updaten sollst....
|
|
|
||
21.02.2009, 19:06
Member
Themenstarter Beiträge: 14 |
#23
Ich hab da nochn kleines Problem mit dem Adobe. Wenn ich 8.1.2. auwähle leitet er mich immer direkt zu 9 weiter ...
|
|
|
||
21.02.2009, 19:09
Member
Beiträge: 3716 |
#24
verstehe ich nicht. du solst die 8ter deinstalieren und neun neu instalieren.
|
|
|
||
21.02.2009, 19:09
Member
Themenstarter Beiträge: 14 |
#25
ah ok ... hab deine nachricht wieder etwas MISTverstanden ... ich muss dringend mal wieder schlafen -.-
|
|
|
||
21.02.2009, 19:17
Member
Beiträge: 3716 |
#26
leis es langsam durch... das ist wichtig um sicherheitslücken zu stopfen damit so etwas net mehr passiert. adobe reader neun soll ja drauf aber erst soll die version 8 runter. genauso mit java verfahren.
|
|
|
||
21.02.2009, 19:44
Moderator
Beiträge: 7805 |
#27
Wenn du damit fertig bist, erstelle ein neuen Gmer Report und poste diesen bitte.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.02.2009, 20:17
Member
Themenstarter Beiträge: 14 |
#28
GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-02-21 20:17:10 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT BAECA4B4 ZwCreateThread SSDT BAECA4A0 ZwOpenProcess SSDT BAECA4A5 ZwOpenThread SSDT BAECA4AF ZwTerminateProcess SSDT BAECA4AA ZwWriteVirtualMemory ---- User code sections - GMER 1.0.14 ---- .text D:\Programme\QIP Infium\infium.exe[3596] kernel32.dll!CreateThread + 1A 7C8106E1 4 Bytes [ 57, FF, C3, 83 ] ---- Devices - GMER 1.0.14 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) ---- EOF - GMER 1.0.14 ---- |
|
|
||
21.02.2009, 20:38
Member
Beiträge: 3716 |
#29
du kannst den rest trotzdem schon machen raman wird sich sicher melden.
|
|
|
||
21.02.2009, 20:47
Moderator
Beiträge: 7805 |
||
|
||