Habe ich ein Rootkit ??

Dieses Thema im Forum "Windows" wurde erstellt von sapper, 22. August 2008 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 22. August 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    Hi,

    tut mir leid das ich das jetzt hier poste, aber ein weiter drunter darf ich ja nicht -.-
    Ist das hier ein "schädling" ?
    Wenn "Ja" , wie hau ich das ding weg, ich denke mit in den Papierkorb moven und
    deleten ist es nicht getan.

    Und mein ICQ wurde gefreezt -.-

    rootkitnojpegsi6.jpg
    {img-src: //imageshack.us/a/img369/3417/rootkitnojpegsi6.jpg}


    Bitte hilft mir !
    Mfg Sapper
     
  2. 22. August 2008
    AW: Habe ich ein Rootkit ??

    klatsch in die tonne bruachst nicht
     
  3. 23. August 2008
    AW: Habe ich ein Rootkit ??

    jop oder direkt mit shift+entf dann landet das noch net ma in der tonne
     
  4. 23. August 2008
    AW: Habe ich ein Rootkit ??

    Hmm - das finde ich irgendwie ein wenig komisch das du das Rootkit siehst (da RKs normalerweise ja ihre eigenen Files/Prozesse/Connections verstecken indem sie die Windows API anpassen...) aber wenn dus schon siehst lösch es halt...
    Ich würd vllt noch mit GMER nach anderen Dateien fahnden, möglicherweise ist die Datei nur die Spitze des Eisbergs.

    MFG
    TuXiFiED
     
  5. 23. August 2008
    AW: Habe ich ein Rootkit ??

    Klapper dein System mal mit den üblichen Anti-Malware/Spyware Programmen ab (S&D...)!

    Test: Die besten Rootkit-Finder

    Die besten Rootkit-Finder - Antivirus & Antispyware - PC-WELT

    Lies dir am besten auch mal den Artikel durch

    greets
     
  6. 23. August 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Habe ich ein Rootkit ??

    Hi,

    ich danke euch für dich echt nützlichen Tipps !
    Werde es gleich mal ausprobieren ... edit kommt gleich ^^


    EDIT: so hab mal ein Screenshot gemacht vom Progi (Analyse)

    asdbe4.jpg
    {img-src: //imageshack.us/a/img292/9051/asdbe4.jpg}



    Mfg
    Sapper
     
  7. 26. August 2008
    Zuletzt von einem Moderator bearbeitet: 15. April 2017
    AW: Habe ich ein Rootkit ??

    bitte poste mal Dein HiJackThis-Logfile um mehr Infos zu bekommen.
    Eine ausführliche Anleitung dazu findest du hier: Wie verwende Ich HiJackThis richtig. - RR:Board

    Gruß BenQ
     
  8. 26. August 2008
    AW: Habe ich ein Rootkit ??

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:33:22, on 25.08.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20861)
    Boot mode: Normal
    
    Running processes:
    C:\WINXP\System32\smss.exe
    C:\WINXP\system32\winlogon.exe
    C:\WINXP\system32\services.exe
    C:\WINXP\system32\lsass.exe
    C:\WINXP\system32\Ati2evxx.exe
    C:\WINXP\system32\svchost.exe
    C:\WINXP\System32\svchost.exe
    C:\WINXP\system32\ZoneLabs\vsmon.exe
    C:\WINXP\system32\Ati2evxx.exe
    C:\WINXP\Explorer.EXE
    C:\WINXP\system32\spoolsv.exe
    C:\WINXP\system32\RunDll32.exe
    C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\WINXP\system32\igfxtray.exe
    C:\WINXP\system32\hkcmd.exe
    C:\WINXP\system32\ctfmon.exe
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Programme\Logitech\SetPoint\SetPoint.exe
    C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
    C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
    C:\WINXP\system32\wscntfy.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKLM\..\Run: [IgfxTray] C:\WINXP\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINXP\system32\hkcmd.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS1\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1
    O17 - HKLM\System\CS2\Services\Tcpip\..\{211E504F-D00A-485F-808F-670FEE9309BA}: NameServer = 192.168.2.1
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINXP\system32\ZoneLabs\vsmon.exe
    
    --
    End of file - 5803 bytes
    
     
  9. 26. August 2008
    AW: Habe ich ein Rootkit ??

    Wie kommt ihr eigentlich darauf, dass das ein Rootkit ist? Schrieb ja schon jemand, wäre doch seltsam wenn man's dann sieht...

    Nach dem Verzeichnisnamen zu urteilen ist es dieses Programm: rootkitno.exe - At your option

    Heißt RootkitNO und soll Rootkits aufspüren. Hast du sowas mal installiert? Jedenfalls einfach löschen, bzw wenns geht deinstallieren.


    Hijackthis hilft bei Rootkits eingentlich wenig, denn die verstecken ja ihren Prozess sowie Dateien auch vor Hijackthis. Lass mal Rootkit Revealer laufen, der zeigt die Dateien und Registryeinträge an, die versteckt wurden. Ist von Sysinternals (jetzt bei MS) und die haben sehr viel Ahnung von den Windowsinnereien.

    Aber Vorsicht bei der Auswertung, nicht alle versteckten Einträge sind Rootkits. Sowas wird gerne auch für Kopierschutze genommen, vor allem Adobe mag das... Also poste das Ergebnis einfach mal hier als Screenshot.

    RootkitNO kannste aber gefahrlos einfach löschen - das ist kein Rootkit (sagt ja auch schon der Name )
     
  10. 27. August 2008
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    AW: Habe ich ein Rootkit ??

    Aha,

    - Rootkit Releaver
    - (S&D)

    - AntiVir "DR.Webdir.B.7"




    Sagt mir jetzt bitte nicht nwo & Format C:
     
  11. 27. August 2008
    AW: Habe ich ein Rootkit ??

    Also, ein Rootkit ist wohl nicht drauf. Was der Revealer da findet sind alles windowseigene Dateien.

    Aber S&D hat Adware gefunden, Webdir sammelt Informationen auf deinem PC um dazu passende Werbung anzuzeigen. Scheint im Zusammenhang mit dem "AVI Codecpack" draufgekommen zu sein...

    Codecpacks sind zu 99% sowieso Müll und wenn sie zudem noch adware-verseucht sind, sowieso. Lass S&D den Mist entfernen und schmeiß dieses seltsame Codecpack gleich mit runter.

    Dann lass dieses Programm laufen, das säubert dein System im Bezug auf Codecs und installier dann dieses hier:

    CCCP

    Ist das einzig mir bekannte sinnvolle Codecpack, damit läuft alles und zudem problemlos. Ausserdem haut es anders als K-Lite und Co nicht tausend Codecs drauf, die kaum einer braucht. Ausserdem ist es sinnlos, 5 Codecs zum lesen von divx zu haben - weil Windows eh nur eins davon nutzt.

    Also, S&D alles säubern lassen. Dann überflüssige Codecs entfernen, dann dieses installieren und fertig. Kein Format C: nötig ...


    PS: Interessant dass irgendwer meinen Beitrag oben negativ bewertet, sich dann aber nicht traut zu sagen wieso.
     
  12. 2. September 2008
    AW: Habe ich ein Rootkit ??

    Nagut habe soweit die Probleme beseitigt,
    danke noch mal an alle für die Tipps.

    CLOSED
     
  13. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.