Hallo,
ich benutze Antivir und habe heute mal vor meinem wöchentlichen Virencheck nach Rootkits gescannt. Es wurden sogar 4 Versteckte Dateien gefunden, woraufhin direkt eine Meldung kam :
"Wir empfehlen ihnen, ihre Systempartition zu überprüfen."
Ich bin der Empfehlung direkt gefolgt und habe meinen Hijackthis-Log auf "http://www.hijackthis.de/de" hochgeladen, um den auszuwerten. Laut der Auswertung schaute es zwar so aus, als wenn ich keinen Virus/Wurm/Trojaner hätte, alelrdings machen mir nun etwas anderes Sorgen ...
Warnungen: 56
Versteckte Objeckte: 4
Meine Bitte wäre es, dass sich vielleicht mehrere Leute die Mühe machen und einmal meinen Hijackthis-Log überprüfen, ob sie etwas finden. Normalerweise würde ich meinen Rechner direkt platt machen, allerdings habe ich zur Zeit sehr viel mit der Schule zu tun und ich weiß nicht, ob ich unbedingt die Zeit finde Referate zu schreiben und meinen Rechner neuzuinstallieren.
Ich freue mich über jede hilfreiche Antwort. (Bei bedarf, bzw. wenn es etwas bringt, kann ich auch den Scanlog posten!)
Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:00, on 05.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe
C:\Programme\Dell\QuickSet\Quickset.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\Avira Premium Security Suite\sched.exe
C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Secunia\PSI\psi.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Intel\WiFi\bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
C:\WINDOWS\system32\SatSrv.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Intel\WiFi\bin\WLKeeper.exe
C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
C:\Dokumente und Einstellungen\Jonas\Desktop\PidginPortable\App\Pid gin\pidgin-portable.exe
F:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www1.euro.dell.com/content/de...=de&l=de&s=gen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Security Suite 2007\PasswordManagerBHO.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\WiFi\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\Quickset.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://F:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1210165935406
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Programme\Gemeinsame Dateien\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless WiFi Service (S24EventMonitor) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\S24EvMon.exe
O23 - Service: Steganos AntiTheft (SatSrv) - Unknown owner - C:\WINDOWS\system32\\SatSrv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\WiFi\bin\WLKeeper.exe
--
End of file - 9295 bytes
Ergebnis 1 bis 9 von 9
Thema: Virenfarm?
-
05.12.2008, 22:51 #1W32.FunLove
- Registriert seit
- 11.08.2008
- Beiträge
- 128
Virenfarm?
-
06.12.2008, 16:14 #2Stanley Jobson
- Registriert seit
- 27.07.2008
- Beiträge
- 691
Hi habe es mir mal Durchgeguckt...
C:\WINDOWS\system32\Ati2evxx.exe <---- auf jednfall nen
Virus den habe ich bei einem Freund deleted läuft sogar nen Porzees im Taskmanager o.O
C:\WINDOWS\system32\Ati2evxx.exe <---- genau wie der
C:\WINDOWS\Explorer.EXE <---- wird so nicht [explorer.exe]
geschrieben? ohne großes E und ohne das .EXE groß ist=?
oder irre ich mich da? ^^
Die letzten beiden habe ich Kp hört sich verdächtig an
lade einfach mal die exen bei www.virustotal.com
aba nichts aus dem Board auf www.virustotal.com uppen ^^
und am besten auch nicht deine selbst gemachten viren
weil es wird an Av firmen weiter geleitet ^^
Hoffe konnte dir Helfen =)
greetz Shadowstyle
C:\Programme\Intel\WiFi\bin\S24EvMon.exe
C:\WINDOWS\System32\TUProgSt.exe
-
06.12.2008, 16:40 #3Neuling
- Registriert seit
- 06.12.2008
- Beiträge
- 1
Sry wenn ich dir da reinrede....
aber der Ati2evxx.exe ist der Ati-Graka Treiber...
-
06.12.2008, 17:14 #4DateMake Dialer
- Registriert seit
- 22.07.2008
- Beiträge
- 100
werte den log auch hier mal aus http://www.hijackthis.de/ vieleicht bringt es was
-
10.12.2008, 12:32 #5Trojaner
- Registriert seit
- 07.11.2008
- Beiträge
- 58
also bei der Explorer.EXE bin ich mir nicht ganz sicher, kann aber durchaus sein dass das seine richtigkeit hat, müsste ich zuhause nochmal schauen.
Ich habe nicht wirklich was gefunden, sind halt gängige Programme die da angezeigt werden.
Die versteckten Dateien werden evtl. mei Alkohol120 und ICQ liegen.
Sollange dein Rechner nicht muckt, brauchst ihn eh nicht platt machen.
Denk mal nicht das du dir da zu große Sorgen machen solltest.
Tipp.: wenn du dennoch den Rechner platt machst, scan ihn mal nach neu Installation (ohne andere Programme zu intallieren)
-
10.12.2008, 18:04 #6Stanley Jobson
- Registriert seit
- 09.12.2006
- Beiträge
- 671
benutz doch einfach mal nicht nur antivir... denn das ist schwul weils jeder benutzt... irgend was anderes.... am besten viele nach einander scannen lassen. manuell scannen keinen av installieren der aktiv scannt sonst haste nacher 10 die aktiv scannen und die würden sich selbst kaputt hauen..
-
10.12.2008, 23:43 #7W32.Lovgate
- Registriert seit
- 28.10.2008
- Beiträge
- 370
Oder einfach mal ins Internet einwählen und nichts machen. Stattdessen den Traffic per Netstat, ActivePorts oder Wireshark überprüfen.
Wenn da jetzt ein Rootkit ist, wird sich wohl irgendwann ne verdächtige Verbindung aufbauen.EPIC!!!!also alle die hier rum geheult haben das es frech sei sollen mal die fresse halten.
und das meine ich förmlich damit nicht gleich ein admin kommt und mich kickt. aber das kann nicht sein.
-
19.01.2009, 23:30 #8Trojaner
- Registriert seit
- 27.09.2008
- Beiträge
- 68
@ zeko wird sie wahrscheinlich nicht... ich mein sicher... aber du kannst sie sicher nicht sehen/... weil ein gescheites (neueres) rootkit privilegierter ist als alle progs die du genannt hast...
...sei immer ein Bit vorraus...
-
19.01.2009, 23:32 #9Stanley Jobson
- Registriert seit
- 09.07.2008
- Beiträge
- 720
Zitat von _loGGer_
kannst du bitte das Spammen sein lassen?.... DANKE!
Alle Beiträge in den Top 15 Stats sind fast alle von dir!
Mfg
Zitieren
