Rootkit, on Board ?

snowbird · 17.09.2009

Hallo, ich denke ich habe Malware, oder bzw. ein Rootkit auf meinem Rechner :'(

Wie ich drauf kommme, wen ich meinem FireFox starten will, öffnet er sich und schließt sich gleich wieder, das macht er aber nicht immer, also ab und zu einmal, so schätze ich das jetzt mal ein. Und des weiteren, muß ich sagen wen ich Dateien suchen tuhe auf meinem Rechner, über Start, Suchen usw. wenn ich die Datei dann gefunden habe will ich Ja den Suchprozess beenden, das klappt nicht immer, nur über dem Taskmanager wen ich den Task dann killen tuhe, dann ist Ruhe im Kasten.

So nun meine HijackThisLog, und GMER.Log, dabei muß ich sagen das ich einmal die Maus bewegt hatte, sollte man eigentlich nicht tuhen, laut einer Anleitung dazu wo ich gelesen hatte, ich hoffe das hat da nichts verfälscht, usw...?!

Die Log`s:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:06, on 17.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\Quicktime\qttask.exe -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &amp;Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &amp;Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&amp;wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&amp;load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra->Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://edownload.grisoft.cz/ewidoOnlineScan.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237134427578[/url]
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - [url]http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab[/url]
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [url]http://ax.emsisoft.com/asquared.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6257 byte

GMER 1.0.15.14972 - http://www.gmer.net

Code:

Rootkit scan 2009-09-17 21:07:31
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xF58F61DA]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xF58F67AE]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xF58F81EA]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xF58F7B9C]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xF58F5950]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xF58F9B7C]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xF58F65AE]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xF58F5D92]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xF58F5F92]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xF58F7EAC]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xF58FA084]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xF58F60A8]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xF58F6110]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xF58F7D5E]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xF58F9620]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xF58F79F8]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xF58F5AB2]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xF58F63B2]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xF58F9BA6]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xF58F62FE]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xF58F6178]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xF58F5E7C]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xF58F5C5A]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xF58F9888]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xF58F55D2]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xF58F8A74]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xF58F5734]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xF58F9F56]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xF58F53D0]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xF58F808C]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xF58F66AC]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xF58F971A]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xF58F9BD0]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xF58F5B08]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xF58F9CB4]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xF58F9DE0]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xF58F954C]
SSDT      \??\D:\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)    ZwTerminateProcess [0xF57CD0B0]
SSDT      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xF58F64F0]

Code      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess
Code      \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text      ntoskrnl.exe!_abnormal_termination + 440                       804E2A9C 12 Bytes [B4, 9C, 8F, F5, E0, 9D, 8F, ...]
.text      ntoskrnl.exe!IoIsOperationSynchronous                        804E875A 5 Bytes JMP F590D9E0 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text      ntoskrnl.exe!FsRtlCheckLockForReadAccess                       80512919 5 Bytes JMP F590D626 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT       \SystemRoot\System32\DRIVERS\tcpip.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]       [F70767B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\netbt.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]       [F70767B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\netbios.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\ipnat.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\wanarp.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\system32\DRIVERS\USBSTOR.SYS[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\rdbss.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\Drivers\Fips.SYS[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\arp1394.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\mouhid.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\Drivers\Cdfs.SYS[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\ndisuio.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\Drivers\Fastfat.SYS[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\system32\drivers\sysaudio.sys[ntoskrnl.exe!IoCreateDevice]        [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\system32\drivers\wdmaud.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\mrxdav.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\Drivers\ParVdm.SYS[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\System32\Drivers\HTTP.sys[ntoskrnl.exe!IoCreateDevice]          [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT       \SystemRoot\system32\drivers\kmixer.sys[ntoskrnl.exe!IoCreateDevice]         [F7076660] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip                               kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\Tcp                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4                        hotcore3.sys (Hotbackup helper driver/Paragon Software Group)
AttachedDevice \Driver\Tcpip \Device\Udp                              kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \Driver\Tcpip \Device\RawIp                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice \FileSystem\Fastfat \Fat                               fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Habe ich nun Malware auf meinem Rechner, oder nicht ?

snowbird

*Log in Code-Tag eingefügt*
Wie führe ich einen Code-Tag im Forum ein?:
http://www.wintotal-forum.de/index.php/topic,156218.0.html

schrauber · 17.09.2009

die logs sind sauber. poste mal rsit logfiles, aber in codetags.

http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_code
http://www.wintotal-forum.de/index.php/topic,147847.0.html#post_rs

snowbird · 17.09.2009

Ja werde ich machen das hier sieht auf dem ersten Blick auch sauber aus.

Code:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2817
Windows 5.1.2600 Service Pack 3

17.09.2009 22:16:25
mbam-log-2009-09-17 (22-16-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 162317
Laufzeit: 35 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Gestartet, im developer Mode.

Die angeforderden Log´s reiche ich nach.

snobird

*Log in Code-Tag eingefügt*

snowbird · 17.09.2009

Code:

Logfile of random's system information tool 1.06 (written by random/random)
Run by Holger at 2009-09-17 22:24:10
Microsoft Windows XP Home Edition Service Pack 3
System drive C: has 11 GB (55%) free of 20 GB
Total RAM: 1023 MB (65% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:13, on 17.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
F:\Downloads\RSIT(2).exe
C:\DOKUME~1\Holger\LOKALE~1\Temp\Temporäres Verzeichnis 4 für HiJackThis.zip\Holger.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVP] D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O4 - HKLM\..\Run: [QuickTime Task] D:\Quicktime\qttask.exe -atboottime
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre6\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User->Default user')
O4 - Startup: Printkey.lnk = D:\Printkey\Printkey.exe
O4 - Global Startup: Orbit.lnk = D:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &amp;Download by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &amp;Grab video by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&amp;wnload selected by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&amp;load all by Orbit - res://D:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra->Tools' menuitem: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - C:\Programme\Fiddler2\Fiddler.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra->Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra->Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - D:\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - [url]http://edownload.grisoft.cz/ewidoOnlineScan.cab[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1237134427578[/url]
O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - [url]http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab[/url]
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - [url]http://ax.emsisoft.com/asquared.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{9E9449F0-D75F-42A3-8212-DB22B6ECF977}: NameServer = 217.0.43.177 217.0.43.161
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - D:\SASWINLO.DLL
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: CSIScanner - Unknown owner - C:\Programme\Prevx\prevx.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6399 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

*Log in Code-Tag eingefügt*

snowbird · 17.09.2009

Code:

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000123B4-9B42-4900-B3F7-F4B073EFC214}]
Octh Class - D:\Programme\Orbitdownloader\orbitcth.dll [2009-08-04 179472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
IEVkbdBHO Class - D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll [2008-11-11 62728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]
MSN Toolbar Helper - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Programme\Java\jre6\bin\jp2ssv.dll [2009-08-06 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2009-08-06 73728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - MSN Toolbar - C:\Programme\MSN\Toolbar\3.0.0744.0\msneshellx.dll [2008-10-15 83800]
{C55BBCD6-41AD-48AD-9953-3609C48EACC7} - Grab Pro - D:\Programme\Orbitdownloader\GrabPro.dll [2009-08-04 662720]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
nForce Tray Options=sstray.exe /r []
NvCplDaemon=C:\WINDOWS\System32\NvCpl.dll [2003-10-06 5058560]
nwiz=nwiz.exe /install []
AVP=D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
QuickTime Task=D:\Quicktime\qttask.exe [2009-01-05 413696]
Dit=C:\WINDOWS\Dit.exe [2002-05-20 65536]
SunJavaUpdateSched=C:\Programme\Java\jre6\bin\jusched.exe [2009-08-06 149280]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
SUPERAntiSpyware=D:\SUPERAntiSpyware.exe [2009-09-05 1994480]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\WINDOWS\System32\NVMCTRAY.DLL [2003-10-06 49152]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Orbit.lnk - D:\Programme\Orbitdownloader\orbitdm.exe

C:\Dokumente und Einstellungen\Holger\Startmenü\Programme\Autostart
Printkey.lnk - D:\Printkey\Printkey.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS=D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,D:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
D:\SASWINLO.DLL [2009-09-05 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
C:\WINDOWS\system32\klogon.dll [2008-11-11 218376]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}=D:\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\UploadMgr]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
dontdisplaylastusername=0
legalnoticecaption=
legalnoticetext=
shutdownwithoutlogon=1
undockwithoutlogon=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
NoDriveTypeAutoRun=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
HonorAutoRunSetting=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019
D:\Programme\Orbitdownloader\orbitdm.exe=D:\Programme\Orbitdownloader\orbitdm.exe:*:Enabled:Orbit
D:\Programme\Orbitdownloader\orbitnet.exe=D:\Programme\Orbitdownloader\orbitnet.exe:*:Enabled:Orbit

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\Network Diagnostic\xpnetdiag.exe=%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000
%windir%\system32\sessmgr.exe=%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

======List of files/folders created in the last 2 months======

2009-09-09 19:35:25 ----HDC---- C:\WINDOWS\$NtUninstallKB968816_WM9$
2009-09-09 19:34:07 ----HDC---- C:\WINDOWS\$NtUninstallKB956844$
2009-08-29 10:56:05 ----D---- C:\Programme\VS Revo Group
2009-08-25 19:34:02 ----HDC---- C:\WINDOWS\$NtUninstallKB970653-v3$
2009-08-22 20:59:55 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-08-22 20:59:55 ----A---- C:\WINDOWS\wininit.ini
2009-08-15 11:45:05 ----D---- C:\downloads
2009-08-15 11:45:05 ----D---- C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\GrabPro
2009-08-15 11:45:02 ----D---- C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Orbit
2009-08-15 11:18:57 ----D---- C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2009-08-15 10:14:33 ----D---- C:\Avenger
2009-08-15 10:14:32 ----A---- C:\avenger.txt
2009-08-13 19:16:54 ----A---- C:\WINDOWS\system32\v3w32se2.dll
2009-08-13 19:13:35 ----D---- C:\Programme\AhnLab
2009-08-11 21:14:00 ----HDC---- C:\WINDOWS\$NtUninstallKB960859$
2009-08-11 21:12:43 ----HDC---- C:\WINDOWS\$NtUninstallKB971657$
2009-08-11 21:11:23 ----HDC---- C:\WINDOWS\$NtUninstallKB971557$
2009-08-11 21:10:01 ----HDC---- C:\WINDOWS\$NtUninstallKB956744$
2009-08-11 21:08:43 ----HDC---- C:\WINDOWS\$NtUninstallKB973869$
2009-08-11 21:07:23 ----HDC---- C:\WINDOWS\$NtUninstallKB973507$
2009-08-11 21:06:04 ----HDC---- C:\WINDOWS\$NtUninstallKB973354$
2009-08-11 21:05:59 ----A---- C:\WINDOWS\system32\wmpns.dll
2009-08-11 21:04:42 ----HDC---- C:\WINDOWS\$NtUninstallKB973540_WM9$
2009-08-11 21:02:07 ----HDC---- C:\WINDOWS\$NtUninstallKB973815$
2009-08-11 21:00:50 ----HDC---- C:\WINDOWS\$NtUninstallKB968389$
2009-08-09 20:27:26 ----HDC---- C:\WINDOWS\$NtUninstallKB961118$
2009-08-08 23:15:02 ----D---- C:\WINDOWS\system32\XPSViewer
2009-08-08 23:14:57 ----D---- C:\Programme\MSBuild
2009-08-08 23:14:55 ----D---- C:\WINDOWS\system32\en-US
2009-08-08 23:14:48 ----D---- C:\Programme\Reference Assemblies
2009-08-08 23:13:20 ----N---- C:\WINDOWS\system32\prntvpt.dll
2009-08-08 23:13:19 ----N---- C:\WINDOWS\system32\xpsshhdr.dll
2009-08-08 23:13:18 ----N---- C:\WINDOWS\system32\xpssvcs.dll
2009-08-08 22:12:47 ----RSD---- C:\WINDOWS\assembly
2009-08-08 22:11:42 ----D---- C:\WINDOWS\Microsoft.NET
2009-08-08 22:05:12 ----D---- C:\Programme\Fiddler2
2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\javaws.exe
2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\javaw.exe
2009-08-06 20:04:59 ----A---- C:\WINDOWS\system32\java.exe

======List of files/folders modified in the last 2 months======

2009-09-17 22:24:02 ----D---- C:\WINDOWS\Prefetch
2009-09-17 21:39:12 ----D---- C:\WINDOWS\Temp
2009-09-17 21:07:50 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-09-17 16:08:12 ----A---- C:\WINDOWS\SchedLgU.Txt
2009-09-16 10:57:28 ----D---- C:\WINDOWS\system32\CatRoot2
2009-09-15 21:14:20 ----RSHDC---- C:\WINDOWS\system32\dllcache
2009-09-15 21:14:15 ----D---- C:\WINDOWS\system32
2009-09-11 13:34:18 ----D---- C:\WINDOWS\system32\drivers
2009-09-09 19:39:56 ----D---- C:\WINDOWS
2009-09-09 19:36:36 ----HD---- C:\WINDOWS\inf
2009-09-09 19:35:22 ----A---- C:\WINDOWS\imsins.BAK
2009-09-09 19:34:06 ----HD---- C:\WINDOWS\$hf_mig$
2009-08-29 10:56:05 ----RD---- C:\Programme
2009-08-28 23:38:20 ----A---- C:\WINDOWS\system32\MRT.exe
2009-08-28 20:43:43 ----A---- C:\WINDOWS\ntbtlog.txt
2009-08-23 10:27:23 ----SHD---- C:\RECYCLER
2009-08-15 11:18:57 ----D---- C:\Programme\Gemeinsame Dateien
2009-08-13 19:13:38 ----SD---- C:\WINDOWS\Downloaded Program Files
2009-08-12 15:47:06 ----D---- C:\WINDOWS\system32\CatRoot
2009-08-11 21:06:11 ----D---- C:\Programme\Outlook Express
2009-08-09 20:29:24 ----SHD---- C:\WINDOWS\Installer
2009-08-09 10:25:34 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2009-08-09 10:25:13 ----D---- C:\WINDOWS\WinSxS
2009-08-08 23:14:54 ----RSD---- C:\WINDOWS\Fonts
2009-08-08 23:14:11 ----D---- C:\WINDOWS\system32\spool
2009-08-08 22:49:55 ----D---- C:\WINDOWS\system32\mui
2009-08-08 22:49:55 ----D---- C:\Programme\Internet Explorer
2009-08-08 22:11:57 ----D---- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2009-08-08 22:11:42 ----D---- C:\WINDOWS\PCHealth
2009-08-08 20:44:34 ----D---- C:\Malware
2009-08-06 20:04:44 ----A---- C:\WINDOWS\system32\deploytk.dll
2009-08-06 20:04:38 ----D---- C:\Programme\Java
2009-08-05 10:59:36 ----N---- C:\WINDOWS\system32\mswebdvd.dll
2009-07-19 18:41:10 ----A---- C:\WINDOWS\system32\ieframe.dll
2009-07-19 15:11:12 ----A---- C:\WINDOWS\system32\mshtml.dll

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;AMD K7-Prozessortreiber; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2008-04-14 41856]
R1 BANTExt;Belarc SMBios Access; C:\WINDOWS\System32\Drivers\BANTExt.sys [2008-02-27 3840]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-04-07 226832]
R1 SASDIFSV;SASDIFSV; \??\D:\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\D:\SASKUTIL.sys []
R1 Uim_IM;UIM Drive Backup Image Plugin; C:\WINDOWS\System32\Drivers\Uim_IM.sys [2007-05-02 131456]
R1 UimBus;Universal Image Mounter Controller; C:\WINDOWS\system32\DRIVERS\UimBus.sys [2007-05-02 32352]
R2 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\System32\DRIVERS\arp1394.sys [2008-04-14 60800]
R2 BrPar;BrPar; C:\WINDOWS\System32\drivers\BrPar.sys [2000-07-24 19537]
R3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
R3 KLFLTDEV;Kaspersky Lab KLFltDev; C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 mouhid;Maus-HID-Treiber; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-18 12288]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\System32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 nv;nv; C:\WINDOWS\System32\DRIVERS\nv4_mini.sys [2003-10-06 1550043]
R3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator; C:\WINDOWS\system32\drivers\nvax.sys [2002-10-25 12928]
R3 NVENET;NVIDIA nForce MCP Networking Adapter Driver; C:\WINDOWS\System32\DRIVERS\NVENET.sys [2002-09-23 80896]
R3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio; C:\WINDOWS\system32\drivers\nvapu.sys [2002-10-25 236672]
R3 SASENUM;SASENUM; \??\D:\SASENUM.SYS []
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\System32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbohci;Miniporttreiber für Microsoft USB Open Host-Controller; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2008-04-14 17152]
R3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 kdvasnkj;kdvasnkj; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\kdvasnkj.sys []
S3 mbr;mbr; \??\C:\DOKUME~1\Holger\LOKALE~1\Temp\mbr.sys []
S3 usbprint;Microsoft USB-Druckerklasse; C:\WINDOWS\system32\DRIVERS\usbprint.sys [2008-04-14 25856]
S3 usbscan;USB-Scannertreiber; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2008-04-14 15104]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 JavaQuickStarterService;Java Quick Starter; C:\Programme\Java\jre6\bin\jqs.exe [2009-08-06 153376]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\System32\nvsvc32.exe [2003-10-06 81920]
S2 AVP;Kaspersky Internet Security; D:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe [2009-07-21 208616]
S2 CSIScanner;CSIScanner; C:\Programme\Prevx\prevx.exe /service []
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 WMPNetworkSvc;Windows Media Player-Netzwerkfreigabedienst; C:\Programme\Windows Media Player\WMPNetwk.exe [2006-11-03 920576]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

Sorry, ich habe das nicht hinbekommen mit dem Tag´s.

snowbird

*Log in Code-Tag eingefügt*

snowbird · 17.09.2009

A² bricht auch nicht gerade um den Berg :-\

KAV auch nicht.

Bericht von a²:

Code:

a-squared Free - Version 4.5
Letztes Update: 17.09.2009 22:43:11

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Speicher, Traces, Cookies, C:\, D:\, E:\, F:\
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn:	17.09.2009 22:50:54

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207528953000 	gefunden: Trace.TrackingCookie.cms!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207550031000 	gefunden: Trace.TrackingCookie.statse.webtrendslive!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276000 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276001 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276002 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276003 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218821745000 	gefunden: Trace.TrackingCookie.ad.yieldmanager.com!A2

Gescannt

Dateien: 	200227
Traces: 	376195
Cookies: 	2585
Prozesse: 	23

Gefunden

Dateien: 	0
Traces: 	0
Cookies: 	8
Prozesse: 	0
Registry Keys: 	0

Scan Ende:	17.09.2009 23:55:07
Scan Zeit:	1:04:13

C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276000	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276001	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276002	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218804276003	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253218821745000	Gelöscht Trace.TrackingCookie.ad.yieldmanager.com!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207550031000	Gelöscht Trace.TrackingCookie.statse.webtrendslive!A2
C:\Dokumente und Einstellungen\Holger\Anwendungsdaten\Mozilla\Firefox\Profiles\ciihxqzt.default\cookies.sqlite:1253207528953000	Gelöscht Trace.TrackingCookie.cms!A2

Gelöscht

Dateien: 	0
Traces: 	0
Cookies: 	7

Nun wie sieht es aus, @ Schrauber habe ich num Malware auf meinem system, oder nicht ?

snowbird

*Log in Code-Tag eingefügt*

schrauber · 18.09.2009

nö alles sauber.

snowbird · 18.09.2009

Wirklich ?

snowbird

schrauber · 18.09.2009

nee ich will dich ärgern, du bist mit nem übel backdoor infiziert

.

was willst du hören? ich sehe in den logs nix, ausser dass du mutigerweise selbst mit avenger rumspielst.

twoday · 19.09.2009

Ähh, glaubt ihr nicht, das ihr den falschen Weg für die Bekämpfung eines _ROOTKITS_ einschlagt?
Die Dinger sind i.d.R. so programmiert, das sie bei laufendem Windows nicht aufzuspüren sind. Die Logs sind also keinen Pfifferling wert.

Ich würde mal mit ner entsprechenden CD booten und von einem sauberen Medium gezielt nach rootkits suchen...

schrauber · 19.09.2009

gmer sucht aber genau auf diese weise. das tool findet eigentlich jedes rootkit, ich habe bis dato keine negativen erfahrungen gemacht. desweiteren sind auch andere anzeichen dafür in der regel in diesen logfiles zu erkennen.

snowbird · 19.09.2009

Also wen ihr meint mein Rechner währe sauber dann lasse ich das erstmal so.

Mit solchen rescue CD´s habe ich immer das Problem das ich keine Internet anbindung habe (hinbekomme), und somit auch keine updates...

Und die ComputerBild Notfall-CD, von 16/2008 will sich auch nicht mer updaten lassen, da hätte ich es nähmlich geschaft eine anbindung ans Internet. Aber wie es aussieht gibt es dafür keine Updates.

Es ist mal wieder wie verhext.

snowbird

schrauber · 20.09.2009

Rootkitscan mit RootRepeal

Gehe hierhin, scrolle runter und downloade RootRepeal.zip.
Entpacke die Datei auf Deinen Desktop.
Doppelklicke die RootRepeal.exe, um den Scanner zu starten.
Klicke auf den Reiter Report und dann auf den Button Scan.
Mache einen Haken bei den folgenden Elementen und klicke Ok.

Drivers
Files
Processes
SSDT
Stealth Objects
Hidden Services
Im Anschluss wirst Du gefragt, welche Laufwerke gescannt werden sollen.
Wähle C:\ und klicke wieder Ok.
Der Suchlauf beginnt automatisch, es wird eine Weile dauern, bitte Geduld.
Wenn der Suchlauf beendet ist, klicke auf Save Report.
Speichere das Logfile als RootRepeal.txt auf dem Desktop.
Kopiere den Inhalt hier in den Thread.

*Url korrigiert*

snowbird · 20.09.2009

Sorry, kann das Tool nicht starten.

Kommt solch eine Meldung:

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000005
Exception Address: 0x004149f4
Attempt to read from address: 0x01267000

snowbird

schrauber · 20.09.2009

no prob, ich hab noch ein paar

Lade Avira AntiRootkit herunter, indem Du auf den Download-Button klickst. Speichere die Datei auf Deinem Desktop.

Du solltest jetzt antivir_rootkit.zip auf Deinem Desktop finden.
Entpacke das Archiv auf Deinen Desktop (antivir_rootkit.zip kannst Du jetzt manuell löschen).
Doppelklick auf die avirarkd.exe => OK.
Klicke auf Start scan.
Wenn der Suchlauf beendet ist, klicke auf View report und kopiere das Log hier in den Thread.

snowbird · 20.09.2009

Jetzt mach ich mir langsam sorgen :'(

Lässt sich wahrscheinlich auch nicht installieren, ich versuchs noch einmnal...

snowbird

snowbird · 20.09.2009

Geht auch nicht :|

Was nun ?

snowbird

schrauber · 20.09.2009

kommt ne fehlermeldung?

snowbird · 20.09.2009

Ja.

snowbird

schrauber · 20.09.2009

hast du ne vollwertige windows cd?

Rootkit, on Board ?

snowbird

schrauber

snowbird

snowbird

snowbird

snowbird

schrauber

snowbird

schrauber

twoday

schrauber

snowbird

schrauber

snowbird

schrauber

snowbird

snowbird

schrauber

snowbird

schrauber

Rootkit, on Board ?

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums