rootkit on board

Status
Für weitere Antworten geschlossen.
R

RiggiT

Guest
Moin ich habe nen rootkit on board, trojaner halt der ROOTKIT HOOK ANALYZER sagt:

LOG:

Service name Syscall Address Hooked Module Product Company Description
----------------------------------------------------------------------------------------------------------------------------------------
NtCreateKey, ZwCreateKey 41 0xF7410B3A YES sptd.sys
NtEnumerateKey, ZwEnumerateKey 71 0xF7410C7E YES sptd.sys
NtEnumerateValueKey, ZwEnumerateValueKey 73 0xF7410FF6 YES sptd.sys
NtOpenKey, ZwOpenKey 119 0xF7410A18 YES sptd.sys
NtOpenProcess, ZwOpenProcess 122 0xEFF3C68C YES guard.sys
NtQueryKey, ZwQueryKey 160 0xF74110C0 YES sptd.sys
NtQueryValueKey, ZwQueryValueKey 177 0xF7410F58 YES sptd.sys
NtSetValueKey, ZwSetValueKey 247 0xF7411148 YES sptd.sys
NtUnloadKey, ZwUnloadKey 263 0xA86446D0 YES uphcleanhlp.sys

-----------------> Ich kann auch net mehr in den abgesicherten Modus, gibt es da ne Lösung ohne neu aufsetzen?

Danke im vorraus

 
R

RiggiT

Guest
hijack log black log

moin mein hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 2:00:25 PM, on 4/29/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Matlab\webserver\bin\win32\matlabserver.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
c:\matlab\bin\win32\matlab.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\PowerISO\SCDEmuApp.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
D:\games\steam\steam.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Power DVD Player\PowerDVDPlayer.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\iTemp\fsbl.exe
c:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
Please, Anmelden or Registrieren to view URLs content!

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,,,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AFB9C93-DA2B-460E-8384-4D5B5D6C59DF} - C:\WINDOWS\system32\occached.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [sCDEmuApp.exe] C:\Program Files\PowerISO\SCDEmuApp.exe
O4 - HKLM\..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power DVD Player] "C:\Program Files\Power DVD Player\PowerDVDPlayer.exe" hmw
O4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {F4430FE8-2638-42e5-B849-800749B94EED} - (no file)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) -
Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) -
Please, Anmelden or Registrieren to view URLs content!

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) -
Please, Anmelden or Registrieren to view URLs content!

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab\webserver\bin\win32\matlabserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

---------------------------------------------------------------------------------------
Mein F-Secure Blacklight log:
Blacklight hat nix gesagt, nix gefunden, in den Logfiles stehen komische Nummern, ohne irgendwelche Prozesse etc. Ich denke, das hilft net

Also erstmal ein fettes Lob an die, die hier helfen, warum habt ihr da so viel Ahnung. Ich bin leider so einer, der immer Fragen stellt, naja Danke nochmal.

 
M

McFly

Well-known member
Mitglied seit
5 Februar 2006
Beiträge
2.622
Hallo RiggiT,

ohne viel zu lesen und tüfteln kommst du nicht herrum um Schadsoftware
den Garaus zu machen :D.

Die Dateien von oben (ROOTKIT HOOK ANALYZER verdächtig) sind:

sptd.sys = Programm Safeguard Easy
guard.sys = Ewido / AVG Anti Spyware
uphcleanhlp.sys = norm. Treiber MS (is used for completely terminate the user Session when a user logs off.
Manufacturer: Microsoft Corp (
Please, Anmelden or Registrieren to view URLs content!
)

Deinstalliere den Spyware Doctor -> Es wird grade untersucht ob es wirklich das tut, was es vorgibt zu sein, da es viele Programme dieser Sorte gibt die das Gegenteil bewirken.

Benutze stattdessen das Programm
Please, Anmelden or Registrieren to view URLs content!


Überprüfe diese Dateien:

C:\Program Files\Power DVD Player\PowerDVDPlayer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\occached.dll

mit folgenden Internetseiten:

Please, Anmelden or Registrieren to view URLs content!


und Poste das Ergebnis.

Danach lade dir das Escan / MWav herrunter (kann etwas dauern, der Server ist nicht der schnellste):

Please, Anmelden or Registrieren to view URLs content!


installieren, updaten, scannen im abgesicherten Modus (
Please, Anmelden or Registrieren to view URLs content!
).

Auch davon bitte das Ergebnis posten, dann sehen wir weiter.

 
R

RiggiT

Guest
So, jetzt haben wir ein kleines großes Problem

Hey hi, habe deine Anweisung befolgt der dvdplayer.exe war n worm anscheinend alles andere clean oder ad-aware use der anderen 2 Dateien

-------> Hitman Pro gedownt, durchlaufen lassen, ist ja echt krass, diese vollautomatisierung mit programmen runterladen und so.

-------> Dann den Schritten für den abgesicherten modus gefolgt, bumms
ich konnte ja nie im abgesicherten hochfahren, hatte ich ja geschrieben. Habe jetzt
den abgesicherten modus über msconfig gemacht, jetzt hat er ne dauerschleife, weil windows immer im abgesicherten modus hochfahren will, wie komme ich denn jetzt daraus. Oder ist die Antwort einfacher als ich dachte?

escan hab ich gedownt, wollte dann in den abgesicherten, doch so sicher war das nett °°
der fährt immer wieder neu hoch, bestimmt wegen der datei spt.sys oder was das war, jedenfalls, denke ich wir sitzen in ner Zwickmühle, die wir uns selber gebaut haben
spacer.png


bin schon gespannt auf die Antwort
spacer.png


 
R

RiggiT

Guest
kann wieder normal starten

war n bissl komisch die sptd ist immer noch befallen meiner meinung nach. Aber
hier der Log.

escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri May 04 00:33:47 2007 => Version 9.1.9
Fri May 04 00:03:30 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:25:06 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:25:20 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:33:49 2007 => Virus-Datenbank Datum: 4/27/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 00:09:31 2007 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Einträge entfernt.
Fri May 04 00:10:04 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Einträge entfernt.
Fri May 04 00:10:04 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\ccrpftv6.ocx)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 04 00:10:04 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Fri May 04 00:10:04 2007 => Offending file found: C:\WINDOWS\system32\ccrpftv6.ocx
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\videokeycodec !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\magnet !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\pesttrap !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\virusbursters !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\\magnet !!!
Fri May 04 00:10:09 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{69e587cf-4025-11da-aed8-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 00:25:06 2007 => Gefundene Viren: 12
Fri May 04 00:25:06 2007 => Anzahl Fehler: 214
Fri May 04 00:25:06 2007 => Dauer des Scans bisher: 00:16:39
Fri May 04 00:25:06 2007 => Gescannte Dateien: 43859
Fri May 04 00:08:19 2007 => Specherüberprüfung: Aktiviert
Fri May 04 00:08:19 2007 => Registry Überprüfung: Aktiviert
Fri May 04 00:08:19 2007 => System-Ordner Überprüfung: Aktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Dienste: Aktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Festplatten: Deaktiviert
Fri May 04 00:08:19 2007 => Überprüfung aller Festplatten :Aktiviert

 
Status
Für weitere Antworten geschlossen.

Windows Forum

Willkommen im Windows Forum – deine Anlaufstelle für alle Fragen, Diskussionen und Tipps rund um Windows! Tausche dich mit der Community aus, finde Lösungen für technische Probleme, entdecke hilfreiche Anleitungen und teile dein Wissen. Egal, ob Windows 10, Windows 11 oder ältere Versionen

Neueste Beiträge

Partner

Online-Statistiken

Zurzeit aktive Mitglieder
0
Zurzeit aktive Gäste
44
Besucher gesamt
44
Die Summen können auch versteckte Besucher enthalten.
Oben