Rootkit, on Board ?

Dieses Thema Rootkit, on Board ? im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von snowbird, 17. Sep. 2009.

Thema: Rootkit, on Board ? Hallo, ich denke ich habe Malware, oder bzw. ein Rootkit auf meinem Rechner :'( Wie ich drauf kommme, wen ich...

  1. Hallo, ich denke ich habe Malware, oder bzw. ein Rootkit auf meinem Rechner :'(

    Wie ich drauf kommme, wen ich meinem FireFox starten will, öffnet er sich und schließt sich gleich wieder, das macht er aber nicht immer, also ab und zu einmal, so schätze ich das jetzt mal ein. Und des weiteren, muß ich sagen wen ich Dateien suchen tuhe auf meinem Rechner, über Start, Suchen usw. wenn ich die Datei dann gefunden habe will ich Ja den Suchprozess beenden, das klappt nicht immer, nur über dem Taskmanager wen ich den Task dann killen tuhe, dann ist Ruhe im Kasten.

    So nun meine HijackThisLog, und GMER.Log, dabei muß ich sagen das ich einmal die Maus bewegt hatte, sollte man eigentlich nicht tuhen, laut einer Anleitung dazu wo ich gelesen hatte, ich hoffe das hat da nichts verfälscht, usw...?!

    Die Log`s:


    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:23:06, on 17.09.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\sstray.exe
    C:\WINDOWS\Dit.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Orbitdownloader\orbitnet.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
    O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
    O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AVP] D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O4 - HKLM\..\Run: [QuickTime Task] D:\Quicktime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
    O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
    O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
    O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
    O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
    O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
    O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
    O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
    O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
    O9 - Extra->Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://edownload.grisoft.cz/ewidoOnlineScan.cab[/url]
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237134427578[/url]
    O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - [url]http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab[/url]
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [url]http://ax.emsisoft.com/asquared.cab[/url]
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
    O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.DLL
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    
    --
    End of file - 6257 byte

    GMER 1.0.15.14972 - http://www.gmer.net
    Code:
    Rootkit scan 2009-09-17 21:07:31
    Windows 5.1.2600 Service Pack 3
    
    
    ---- System - GMER 1.0.15 ----
    
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xF58F61DA]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xF58F67AE]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xF58F81EA]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xF58F7B9C]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xF58F5950]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xF58F9B7C]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xF58F65AE]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xF58F5D92]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xF58F5F92]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xF58F7EAC]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xF58FA084]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xF58F60A8]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xF58F6110]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xF58F7D5E]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xF58F9620]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xF58F79F8]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xF58F5AB2]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xF58F63B2]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xF58F9BA6]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xF58F62FE]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xF58F6178]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xF58F5E7C]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xF58F5C5A]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xF58F9888]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xF58F55D2]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xF58F8A74]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xF58F5734]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xF58F9F56]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xF58F53D0]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xF58F808C]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xF58F66AC]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xF58F971A]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xF58F9BD0]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xF58F5B08]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xF58F9CB4]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xF58F9DE0]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xF58F954C]
    SSDT      \??\D:\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)    ZwTerminateProcess [0xF57CD0B0]
    SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xF58F64F0]
    
    Code      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
    Code      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous
    
    ---- Kernel code sections - GMER 1.0.15 ----
    
    .text      ntoskrnl.exe!_abnormal_termination + 440                       804E2A9C 12 Bytes [B4, 9C, 8F, F5, E0, 9D, 8F, ...]
    .text      ntoskrnl.exe!IoIsOperationSynchronous                        804E875A 5 Bytes JMP F590D9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
    .text      ntoskrnl.exe!FsRtlCheckLockForReadAccess                       80512919 5 Bytes JMP F590D626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
    
    ---- Kernel IAT/EAT - GMER 1.0.15 ----
    
    IAT       \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]       [F70767B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]       [F70767B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\system32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\mouhid.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    IAT       \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    
    ---- Devices - GMER 1.0.15 ----
    
    AttachedDevice \Driver\Tcpip \Device\Ip                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    AttachedDevice \Driver\Tcpip \Device\Tcp                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
    AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
    AttachedDevice \Driver\Tcpip \Device\Udp                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    AttachedDevice \Driver\Tcpip \Device\RawIp                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
    AttachedDevice \FileSystem\Fastfat \Fat                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
    
    ---- EOF - GMER 1.0.15 ----

    Habe ich nun Malware auf meinem Rechner, oder nicht ?

    snowbird

    *Log in Code-Tag eingefügt*
    Wie führe ich einen Code-Tag im Forum ein?:
    http://www.wintotal-forum.de/index.php/topic,156218.0.html
     
  2. Ja werde ich machen das hier sieht auf dem ersten Blick auch sauber aus.

    Code:
    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 2817
    Windows 5.1.2600 Service Pack 3
    
    17.09.2009 22:16:25
    mbam-log-2009-09-17 (22-16-25).txt
    
    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
    Durchsuchte Objekte: 162317
    Laufzeit: 35 minute(s), 51 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

    Gestartet, im developer Mode.

    Die angeforderden Log´s reiche ich nach.

    snobird

    *Log in Code-Tag eingefügt*
     
  3. Code:
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by Holger at 2009-09-17 22:24:10
    Microsoft Windows XP Home Edition Service Pack 3
    System drive C: has 11 GB (55%) free of 20 GB
    Total RAM: 1023 MB (65% free)
    
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:24:13, on 17.09.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\sstray.exe
    C:\WINDOWS\Dit.exe
    C:\Programme\Java\jre6\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Orbitdownloader\orbitnet.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    F:\Downloads\RSIT(2).exe
    C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\Holger.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
    O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
    O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll
    O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AVP] D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O4 - HKLM\..\Run: [QuickTime Task] D:\Quicktime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
    O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
    O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
    O8 - Extra context menu item: &Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
    O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
    O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
    O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
    O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
    O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
    O9 - Extra->Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
    O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://edownload.grisoft.cz/ewidoOnlineScan.cab[/url]
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237134427578[/url]
    O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - [url]http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab[/url]
    O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [url]http://ax.emsisoft.com/asquared.cab[/url]
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9E9449F0-D75F-42A3-8212-DB22B6ECF977}: NameServer = 217.0.43.177 217.0.43.161
    O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.DLL
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
    O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    
    --
    End of file - 6399 bytes
    
    ======Scheduled tasks folder======
    
    C:\WINDOWS\tasks\AppleSoftwareUpdate.job
    *Log in Code-Tag eingefügt*
     
  4. Code:
    ======Registry dump======
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
    Octh Class - D:\Programme\Orbitdownloader\orbitcth.dll [2009-08-04 179472]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
    IEVkbdBHO Class - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]
    MSN Toolbar Helper - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
    Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-06 41760]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
    JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-06 73728]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - MSN Toolbar - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]
    {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - D:\Programme\Orbitdownloader\GrabPro.dll [2009-08-04 662720]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    nForce Tray Options=sstray.exe /r []
    NvCplDaemon=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 5058560]
    nwiz=nwiz.exe /install []
    AVP=D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
    QuickTime Task=D:\Quicktime\qttask.exe [2009-01-05 413696]
    Dit=C:\WINDOWS\Dit.exe [2002-05-20 65536]
    SunJavaUpdateSched=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-06 149280]
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
    SUPERAntiSpyware=D:\SUPERAntiSpyware.exe [2009-09-05 1994480]
    
    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
    C:\WINDOWS\System32\NVMCTRAY.DLL [2003-10-06 49152]
    
    C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
    Orbit.lnk - D:\Programme\Orbitdownloader\orbitdm.exe
    
    C:\Dokumente und Einstellungen\Holger\Startmenü\Programme\Autostart
    Printkey.lnk - D:\Printkey\Printkey.exe
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
    AppInit_DLLS=D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
    D:\SASWINLO.DLL [2009-09-05 548352]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
    C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}=D:\SASSEH.DLL [2008-05-13 77824]
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    dontdisplaylastusername=0
    legalnoticecaption=
    legalnoticetext=
    shutdownwithoutlogon=1
    undockwithoutlogon=1
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    NoDriveTypeAutoRun=145
    
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
    HonorAutoRunSetting=
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    %windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    %windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    D:\Programme\Orbitdownloader\orbitdm.exe=D:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit
    D:\Programme\Orbitdownloader\orbitnet.exe=D:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit
    
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    %windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
    %windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
    
    ======List of files/folders created in the last 2 months======
    
    2009-09-09 19:35:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
    2009-09-09 19:34:07 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
    2009-08-29 10:56:05 ----D---- C:\Programme\VS Revo Group
    2009-08-25 19:34:02 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
    2009-08-22 20:59:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
    2009-08-22 20:59:55 ----A---- C:\WINDOWS\wininit.ini
    2009-08-15 11:45:05 ----D---- C:\downloads
    2009-08-15 11:45:05 ----D---- C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\GrabPro
    2009-08-15 11:45:02 ----D---- C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Orbit
    2009-08-15 11:18:57 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
    2009-08-15 10:14:33 ----D---- C:\Avenger
    2009-08-15 10:14:32 ----A---- C:\avenger.txt
    2009-08-13 19:16:54 ----A---- C:\WINDOWS\system32\v3w32se2.dll
    2009-08-13 19:13:35 ----D---- C:\Programme\AhnLab
    2009-08-11 21:14:00 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
    2009-08-11 21:12:43 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
    2009-08-11 21:11:23 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
    2009-08-11 21:10:01 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
    2009-08-11 21:08:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
    2009-08-11 21:07:23 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
    2009-08-11 21:06:04 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
    2009-08-11 21:05:59 ----A---- C:\WINDOWS\system32\wmpns.dll
    2009-08-11 21:04:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
    2009-08-11 21:02:07 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
    2009-08-11 21:00:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
    2009-08-09 20:27:26 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
    2009-08-08 23:15:02 ----D---- C:\WINDOWS\system32\XPSViewer
    2009-08-08 23:14:57 ----D---- C:\Programme\MSBuild
    2009-08-08 23:14:55 ----D---- C:\WINDOWS\system32\en-US
    2009-08-08 23:14:48 ----D---- C:\Programme\Reference Assemblies
    2009-08-08 23:13:20 ----N---- C:\WINDOWS\system32\prntvpt.dll
    2009-08-08 23:13:19 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
    2009-08-08 23:13:18 ----N---- C:\WINDOWS\system32\xpssvcs.dll
    2009-08-08 22:12:47 ----RSD---- C:\WINDOWS\assembly
    2009-08-08 22:11:42 ----D---- C:\WINDOWS\Microsoft.NET
    2009-08-08 22:05:12 ----D---- C:\Programme\Fiddler2
    2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\javaws.exe
    2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\javaw.exe
    2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\java.exe
    
    ======List of files/folders modified in the last 2 months======
    
    2009-09-17 22:24:02 ----D---- C:\WINDOWS\Prefetch
    2009-09-17 21:39:12 ----D---- C:\WINDOWS\Temp
    2009-09-17 21:07:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
    2009-09-17 16:08:12 ----A---- C:\WINDOWS\SchedLgU.Txt
    2009-09-16 10:57:28 ----D---- C:\WINDOWS\system32\CatRoot2
    2009-09-15 21:14:20 ----RSHDC---- C:\WINDOWS\system32\dllcache
    2009-09-15 21:14:15 ----D---- C:\WINDOWS\system32
    2009-09-11 13:34:18 ----D---- C:\WINDOWS\system32\drivers
    2009-09-09 19:39:56 ----D---- C:\WINDOWS
    2009-09-09 19:36:36 ----HD---- C:\WINDOWS\inf
    2009-09-09 19:35:22 ----A---- C:\WINDOWS\imsins.BAK
    2009-09-09 19:34:06 ----HD---- C:\WINDOWS\$hf_mig$
    2009-08-29 10:56:05 ----RD---- C:\Programme
    2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe
    2009-08-28 20:43:43 ----A---- C:\WINDOWS\ntbtlog.txt
    2009-08-23 10:27:23 ----SHD---- C:\RECYCLER
    2009-08-15 11:18:57 ----D---- C:\Programme\Gemeinsame Dateien
    2009-08-13 19:13:38 ----SD---- C:\WINDOWS\Downloaded Program Files
    2009-08-12 15:47:06 ----D---- C:\WINDOWS\system32\CatRoot
    2009-08-11 21:06:11 ----D---- C:\Programme\Outlook Express
    2009-08-09 20:29:24 ----SHD---- C:\WINDOWS\Installer
    2009-08-09 10:25:34 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
    2009-08-09 10:25:13 ----D---- C:\WINDOWS\WinSxS
    2009-08-08 23:14:54 ----RSD---- C:\WINDOWS\Fonts
    2009-08-08 23:14:11 ----D---- C:\WINDOWS\system32\spool
    2009-08-08 22:49:55 ----D---- C:\WINDOWS\system32\mui
    2009-08-08 22:49:55 ----D---- C:\Programme\Internet Explorer
    2009-08-08 22:11:57 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
    2009-08-08 22:11:42 ----D---- C:\WINDOWS\PCHealth
    2009-08-08 20:44:34 ----D---- C:\Malware
    2009-08-06 20:04:44 ----A---- C:\WINDOWS\system32\deploytk.dll
    2009-08-06 20:04:38 ----D---- C:\Programme\Java
    2009-08-05 10:59:36 ----N---- C:\WINDOWS\system32\mswebdvd.dll
    2009-07-19 18:41:10 ----A---- C:\WINDOWS\system32\ieframe.dll
    2009-07-19 15:11:12 ----A---- C:\WINDOWS\system32\mshtml.dll
    
    ======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
    R1 BANTExt;Belarc SMBios Access; C:\WINDOWS\System32\Drivers\BANTExt.sys [2008-02-27 3840]
    R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-04-07 226832]
    R1 SASDIFSV;SASDIFSV; \??\D:\SASDIFSV.SYS []
    R1 SASKUTIL;SASKUTIL; \??\D:\SASKUTIL.sys []
    R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2007-05-02 131456]
    R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2007-05-02 32352]
    R2 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
    R2 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
    R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
    R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
    R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
    R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
    R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
    R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]
    R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-10-25 12928]
    R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\System32\DRIVERS\NVENET.sys [2002-09-23 80896]
    R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-10-25 236672]
    R3 SASENUM;SASENUM; \??\D:\SASENUM.SYS []
    R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
    R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
    R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-14 17152]
    R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
    S3 kdvasnkj;kdvasnkj; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\kdvasnkj.sys []
    S3 mbr;mbr; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\mbr.sys []
    S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
    S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
    S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
    S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
    S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
    
    ======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======
    
    R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-06 153376]
    R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2003-10-06 81920]
    S2 AVP;Kaspersky Internet Security; D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
    S2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe /service []
    S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
    S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
    S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
    S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
    S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
    S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
    S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
    
    -----------------EOF-----------------
    Sorry, ich habe das nicht hinbekommen mit dem Tag´s.

    snowbird

    *Log in Code-Tag eingefügt*
     
  5. A² bricht auch nicht gerade um den Berg :-\

    KAV auch nicht.

    Bericht von a²:

    Code:
    a-squared Free - Version 4.5
    Letztes Update: 17.09.2009 22:43:11
    
    Scan Einstellungen:
    
    Scan Methode: Detail Scan
    Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
    Archiv Scan: An
    Heuristik: Aus
    ADS Scan: An
    
    Scan Beginn:	17.09.2009 22:50:54
    
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207528953000 	gefunden: Trace.TrackingCookie.cms!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207550031000 	gefunden: Trace.TrackingCookie.statse.webtrendslive!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276000 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276001 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276002 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276003 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218821745000 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
    
    Gescannt
    
    Dateien: 	200227
    Traces: 	376195
    Cookies: 	2585
    Prozesse: 	23
    
    Gefunden
    
    Dateien: 	0
    Traces: 	0
    Cookies: 	8
    Prozesse: 	0
    Registry Keys: 	0
    
    Scan Ende:	17.09.2009 23:55:07
    Scan Zeit:	1:04:13
    
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276000	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276001	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276002	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276003	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218821745000	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207550031000	Gelöscht Trace.TrackingCookie.statse.webtrendslive!A2
    C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207528953000	Gelöscht Trace.TrackingCookie.cms!A2
    
    Gelöscht
    
    Dateien: 	0
    Traces: 	0
    Cookies: 	7

    Nun wie sieht es aus, @ Schrauber habe ich num Malware auf meinem system, oder nicht ?

    snowbird

    *Log in Code-Tag eingefügt*
     
  6. nö alles sauber.
     
  7. Wirklich ?

    snowbird
     
  8. nee ich will dich ärgern, du bist mit nem übel backdoor infiziert ;).

    was willst du hören? ich sehe in den logs nix, ausser dass du mutigerweise selbst mit avenger rumspielst.
     
  9. Ähh, glaubt ihr nicht, das ihr den falschen Weg für die Bekämpfung eines _ROOTKITS_ einschlagt?
    Die Dinger sind i.d.R. so programmiert, das sie bei laufendem Windows nicht aufzuspüren sind. Die Logs sind also keinen Pfifferling wert.

    Ich würde mal mit ner entsprechenden CD booten und von einem sauberen Medium gezielt nach rootkits suchen...
     
Die Seite wird geladen...

Rootkit, on Board ? - Ähnliche Themen

Forum Datum
rootkit - wie sind sie sicher zu entfernen? Viren, Trojaner, Spyware etc. 2. Jan. 2011
Rootkit ja oder nein? Windows XP Forum 29. Dez. 2008
Re: Rootkit oder Trojaner - Befall? Windows XP Forum 7. Nov. 2008
Rootkit oder Trojaner - Befall? Viren, Trojaner, Spyware etc. 5. Nov. 2008
RootkitHookAnalyzer meldet unbekannte .SYS-Dateien Windows XP Forum 16. März 2008