#1 22. August 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 Hi, tut mir leid das ich das jetzt hier poste, aber ein weiter drunter darf ich ja nicht -.- Ist das hier ein "schädling" ? Wenn "Ja" , wie hau ich das ding weg, ich denke mit in den Papierkorb moven und deleten ist es nicht getan. Und mein ICQ wurde gefreezt -.- {img-src: //imageshack.us/a/img369/3417/rootkitnojpegsi6.jpg} Bitte hilft mir ! Mfg Sapper
#3 23. August 2008 AW: Habe ich ein Rootkit ?? jop oder direkt mit shift+entf dann landet das noch net ma in der tonne
#4 23. August 2008 AW: Habe ich ein Rootkit ?? Hmm - das finde ich irgendwie ein wenig komisch das du das Rootkit siehst (da RKs normalerweise ja ihre eigenen Files/Prozesse/Connections verstecken indem sie die Windows API anpassen...) aber wenn dus schon siehst lösch es halt... Ich würd vllt noch mit GMER nach anderen Dateien fahnden, möglicherweise ist die Datei nur die Spitze des Eisbergs. MFG TuXiFiED
#5 23. August 2008 AW: Habe ich ein Rootkit ?? Klapper dein System mal mit den üblichen Anti-Malware/Spyware Programmen ab (S&D...)! Test: Die besten Rootkit-Finder Die besten Rootkit-Finder - Antivirus & Antispyware - PC-WELT Lies dir am besten auch mal den Artikel durch greets
#6 23. August 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Habe ich ein Rootkit ?? Hi, ich danke euch für dich echt nützlichen Tipps ! Werde es gleich mal ausprobieren ... edit kommt gleich ^^ EDIT: so hab mal ein Screenshot gemacht vom Progi (Analyse) {img-src: //imageshack.us/a/img292/9051/asdbe4.jpg} Mfg Sapper
#7 26. August 2008 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Habe ich ein Rootkit ?? bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen. Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board Gruß BenQ
#8 26. August 2008 AW: Habe ich ein Rootkit ?? Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:33:22, on 25.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20861) Boot mode: Normal Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\ZoneLabs\vsmon.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\Explorer.EXE C:\WINXP\system32\spoolsv.exe C:\WINXP\system32\RunDll32.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINXP\system32\igfxtray.exe C:\WINXP\system32\hkcmd.exe C:\WINXP\system32\ctfmon.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\WINXP\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe -- End of file - 5803 bytes
#9 26. August 2008 AW: Habe ich ein Rootkit ?? Wie kommt ihr eigentlich darauf, dass das ein Rootkit ist? Schrieb ja schon jemand, wäre doch seltsam wenn man's dann sieht... Nach dem Verzeichnisnamen zu urteilen ist es dieses Programm: rootkitno.exe - At your option Heißt RootkitNO und soll Rootkits aufspüren. Hast du sowas mal installiert? Jedenfalls einfach löschen, bzw wenns geht deinstallieren. Hijackthis hilft bei Rootkits eingentlich wenig, denn die verstecken ja ihren Prozess sowie Dateien auch vor Hijackthis. Lass mal Rootkit Revealer laufen, der zeigt die Dateien und Registryeinträge an, die versteckt wurden. Ist von Sysinternals (jetzt bei MS) und die haben sehr viel Ahnung von den Windowsinnereien. Aber Vorsicht bei der Auswertung, nicht alle versteckten Einträge sind Rootkits. Sowas wird gerne auch für Kopierschutze genommen, vor allem Adobe mag das... Also poste das Ergebnis einfach mal hier als Screenshot. RootkitNO kannste aber gefahrlos einfach löschen - das ist kein Rootkit (sagt ja auch schon der Name )
#10 27. August 2008 Zuletzt von einem Moderator bearbeitet: 14. April 2017 AW: Habe ich ein Rootkit ?? Aha, - Rootkit Releaver - (S&D) - AntiVir "DR.Webdir.B.7" Sagt mir jetzt bitte nicht nwo & Format C:
#11 27. August 2008 AW: Habe ich ein Rootkit ?? Also, ein Rootkit ist wohl nicht drauf. Was der Revealer da findet sind alles windowseigene Dateien. Aber S&D hat Adware gefunden, Webdir sammelt Informationen auf deinem PC um dazu passende Werbung anzuzeigen. Scheint im Zusammenhang mit dem "AVI Codecpack" draufgekommen zu sein... Codecpacks sind zu 99% sowieso Müll und wenn sie zudem noch adware-verseucht sind, sowieso. Lass S&D den Mist entfernen und schmeiß dieses seltsame Codecpack gleich mit runter. Dann lass dieses Programm laufen, das säubert dein System im Bezug auf Codecs und installier dann dieses hier: CCCP Ist das einzig mir bekannte sinnvolle Codecpack, damit läuft alles und zudem problemlos. Ausserdem haut es anders als K-Lite und Co nicht tausend Codecs drauf, die kaum einer braucht. Ausserdem ist es sinnlos, 5 Codecs zum lesen von divx zu haben - weil Windows eh nur eins davon nutzt. Also, S&D alles säubern lassen. Dann überflüssige Codecs entfernen, dann dieses installieren und fertig. Kein Format C: nötig ... PS: Interessant dass irgendwer meinen Beitrag oben negativ bewertet, sich dann aber nicht traut zu sagen wieso.
#12 2. September 2008 AW: Habe ich ein Rootkit ?? Nagut habe soweit die Probleme beseitigt, danke noch mal an alle für die Tipps. CLOSED