Rootkit:W32/Settec.a was machen???

01.02.2008, 16:54

Hallo!
F-secure hat bei mir das o.g. Rootkit gefunden. Zuerst in den Dateien msapp32.exe und hadl.dll, die Dateien konnten nicht desinfiziert werden sie sind jetzt in quarantäne...habe dann noch einen komlett scan meiner Festplatte gemacht und es wurden in 3 weiteren Dateien gefunden. Nach dem ersten Fund und der quarantäne hab ich einen Neustart gemacht und dann hat f-secure gleich wieder Alarm gegeben und es war wieder in msapp32.exe und dann in hadl.dll. Nach dem Neustart des komplett scans habe ich keine Virenmeldung mehr bekommen. F-Secure Blacklight und avg anti rootkit haben auch nichts mehr gefunden.
Ist das Rootkit jetzt weg? Hab mal gehört das man nach einem Rootkit immer formatieren muss, weil es mein laptop manipuliert haben kann und mich trotzdem ausspioniert, ist das so? Ich hab das noch nie gemacht

01.02.2008, 17:22

Hallo

Poste mal folgendes:

Einen HijackThis log
https://sicher-ins-netz.info/analyse/

ComboFix
https://download.bleepingcomputer.com/sUBs/ComboFix.exe
Beende nun dein Antiviren- & Antispywareprogramm
Doppelklicken auf: combofix.exe
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.
Die Datenträgerbereinigung abwarten (bis ca. 20 Min/ Neustart kann erfolgen)
mit der rechten Maustaste den Text markieren -> kopieren -> vollständig posten

01.02.2008, 17:40

So habe ich jetzt beides gemacht:

Code:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:57:17, on 01.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Franzi\Desktop\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://global.acer.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_04\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msapp32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - https://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - https://tools.ebayimg.com/eps/wl/acti..._v1-0-3-48.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/m...load_11213.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - https://update.microsoft.com/windowsu...?1129918913066
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsof...?1129919681734
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - https://194.183.159.63/activex/AxisCamControl.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - https://www.studivz.net/lib/photouplo...toUploader.cab
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - https://www.gds.org/gdsahead/h263ctrl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553590000} - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {EDDD6406-4684-410F-A90D-780E8C73D2C4} (aldi-fotoservice-druck_de_bilduebertragung) - https://www.aldi-fotoservice-druck.de...bertragung.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
--
End of file - 9831 bytes

und Combofix:

Code:

ComboFix 08-02.01.6 - Franzi 2008-02-01 18:31:43.1 - FAT32x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.122 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Franzi\Eigene Dateien\Setup\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
----- BITS: Possible infected sites -----
hxxp://au.download.windowsupdate.com
.
(((((((((((((((((((((((   Dateien erstellt von 2008-01-01 bis 2008-02-01  ))))))))))))))))))))))))))))))
.
2008-02-01 16:59 . 2007-01-18 13:003,968--a------C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-12 14:52 . 2008-01-12 14:52<DIR>d--------C:\Programme\Sun
2008-01-12 14:36 . 2008-01-12 14:36<DIR>d--------C:\Dokumente und Einstellungen\Franzi\.nbi
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-14 08:30---------d-----wC:\Programme\PlotSoft
2007-11-07 09:27729,600----a-wC:\WINDOWS\system32\lsasrv.dll
2007-11-07 09:27729,600------wC:\WINDOWS\system32\dllcache\lsasrv.dll
2003-01-21 02:0013,095,560----a-rC:\Dokumente und Einstellungen\Franzi\MpSetup.exe
2003-01-21 02:0013,095,560----a-rC:\Dokumente und Einstellungen\Default User\MpSetup.exe
2003-01-21 02:0013,095,560----a-rC:\Dokumente und Einstellungen\Administrator\MpSetup.exe
2003-01-21 02:0013,095,560------wC:\WINDOWS\system32\config\systemprofile\MpSetup.exe
.
((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-20 19:57 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-20 19:57 532480]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52 40960]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 07:32 208952]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2003-04-02 12:00 59392]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-02 12:00 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [2003-04-02 12:00 455168]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2004-07-14 14:19 151552]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2004-09-01 17:38 2876416]
"LManager"="C:\Programme\Launch Manager\QtZgAcer.EXE" [2004-07-30 11:30 319488]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-08-24 13:30 986624]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-08-17 16:04 148992]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 17:14 50688]
"EPSON Stylus C64 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2003-05-27 05:08 99840]
"NWEReboot"="" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-12-06 18:52 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 08:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 08:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 08:40 118784]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"F-Secure Manager"="C:\Programme\F-Secure\Common\FSM32.exe" [2007-05-15 19:26 172081]
"F-Secure TNB"="C:\Programme\F-Secure\FSGUI\TNBUtil.exe" [2007-05-15 19:26 724992]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"SystemManager"= C:\WINDOWS\system32\msapp32.exe
R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2007-05-15 19:26]
R1 F-Secure HIPS;F-Secure HIPS;C:\Programme\F-Secure\HIPS\fshs.sys [2007-05-15 19:26]
R1 SMBHC;Microsoft SM Bus-Hostcontrollertreiber;C:\WINDOWS\system32\DRIVERS\SMBHC.sys [2001-08-17 13:57]
R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\System32\drivers\epm-psd.sys [2004-07-19 13:10]
R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\System32\drivers\epm-shd.sys [2004-08-14 20:59]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure\Anti-Virus\minifilter\fsgk.sys [2007-05-30 14:47]
R3 IPN2220;acer IPN2220 Wireless LAN Card Driver;C:\WINDOWS\system32\DRIVERS\i2220ntx.sys [2004-03-30 08:23]
R3 SMBBATT;Microsoft Smart Battery-Treiber;C:\WINDOWS\system32\DRIVERS\SMBBATT.sys [2004-08-04 08:07]
S4 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2007-05-15 19:26]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure\Anti-Virus\Win2K\FSrec.sys [2007-05-15 19:26]
*Newly Created Service* - AVGARCLN
*Newly Created Service* - AVG_ANTI-ROOTKIT
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, https://www.gmer.net
Rootkit scan 2008-02-01 18:34:32
Windows 5.1.2600 Service Pack 2 FAT NTAPI
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen 
versteckte Dateien: 0 
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 18:34:54
ComboFix-quarantined-files.txt  2008-02-01 17:34:54
.
2008-01-09 14:56:10--- E O F ---

Mein Problem ist jetzt noch das sich F-Secure nicht mehr öffnen lässt nachdem ich es beendet habe(warum???????????)

01.02.2008, 19:03

Hallo

Neuaufsetzen ist hier nicht erforderlich.

öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten

O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msapp32.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {A93B47FD-9BF6-4DA8-97FC-9270B9D64A6C} (VaPgCtrl Class) - https://www.gds.org/gdsahead/h263ctrl.cab

Abarbeiten:
https://c-ko.blogspot.com/2006/04/alpha- ... ernen.html

WindowsScan laden,
ausführen, Report posten

Scanne mit gmer, Report posten
https://www.gmer.net/

04.02.2008, 18:11

Hallo Humdinger!
Ich danke dir für deine Hilfe! Ich bin begeistert

Also hatte ich dieses Rootkit von der blöden DVD...Das ist jetzt aber auch schon 1,5 Jahre her das ich die DVD eingelegt habe...Dann hat F-Secure wohl erst jetzt das Update bekommen um das zu finden...
Habe versucht das Rootkit wie beschrieben auf der C-Ko Seite zu entfernen, aber IceSword hatte keine Datei die der Taskmanager nicht hatte, aber ich hatte die msapp32.exe davor ja schon von Hijackthis löschen lassen.
Ich hoffe das es jetzt weg ist!!!
Meine Windows Defragmentierung funktioniert auf jeden Fall wieder. Hatte bei mir nämlich auch nichfunktioniert so wie es auf der Seite steht! Finde ich echt krass das die Unternehmen sowas verbreiten dürfen!!!
Hier die Daten vom Windowsscan:

Code:

Die 30 neuesten Dateien im Ordner Windows: 
***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS *****  
***** ***** ***** ***** *****  
 04.02.2008 WindowsUpdate.log 18 05:1.375.081  
 04.02.2008 wiadebug.log 18 03:159  
 04.02.2008 0.log 18 03:0  
 04.02.2008 bootstat.dat 18 03:2.048  
 04.02.2008 SchedLgU.Txt 18 02:32.626  
 04.02.2008 wiaservc.log 18 02:50  
 01.02.2008 system.ini 18 34:227  
 17.01.2008 BRWMARK.INI 14 12:432  
 10.01.2008 setupact.log 15 09:223.847  
 09.01.2008 KB941644.log 15 53:11.489  
 09.01.2008 iis6.log 15 53:169.063  
 09.01.2008 FaxSetup.log 15 53:1.097.273  
 09.01.2008 ntdtcsetup.log 15 53:189.221  
 09.01.2008 msgsocm.log 15 53:53.698  
 09.01.2008 ocgen.log 15 53:534.249  
 09.01.2008 comsetup.log 15 53:311.213  
 09.01.2008 imsins.log 15 53:1.355  
 09.01.2008 tsoc.log 15 53:415.137  
 09.01.2008 ocmsn.log 15 53:46.165  
 09.01.2008 setupapi.log 15 53:239.082  
 09.01.2008 imsins.BAK 15 53:1.355  
 09.01.2008 KB943485.log 15 53:11.676  
 18.12.2007 QTFont.qfn 20 37:54.156  
 18.12.2007 QTFont.for 20 37:1.409  
 12.12.2007 KB942763.log 13 08:22.875  
 12.12.2007 KB941569.log 13 07:10.750  
 12.12.2007 KB941568.log 13 06:10.684  
Die 50 neuesten Dateien im Ordner Windows\system32: 
***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS\system32 *****  
***** ***** ***** ***** *****  
 04.02.2008 wpa.dbl 18 04:1.158  
 12.01.2008 jupdate-1.6.0_04-b12.log 14 52:5.697  
 02.01.2008 MRT.exe 19 21:17.642.616  
 14.12.2007 javaws.exe 01 59:139.264  
 14.12.2007 javacpl.cpl 01 59:69.632  
 14.12.2007 javaw.exe 00 57:135.168  
 14.12.2007 java.exe 00 57:135.168  
 12.12.2007 TZLog.log 13 07:387.268  
 07.12.2007 PerfStringBackup.INI 20 30:956.680  
 07.12.2007 perfc009.dat 20 30:61.718  
 07.12.2007 perfh007.dat 20 30:412.110  
 07.12.2007 perfc007.dat 20 30:73.964  
 07.12.2007 perfh009.dat 20 30:398.878  
 07.12.2007 mapisvc.inf 20 29:57  
 13.11.2007 tzchange.exe 12 31:60.416  
 07.11.2007 lsasrv.dll 10 27:729.600  
 29.10.2007 quartz.dll 23 42:1.293.312  
 29.10.2007 xpsp3res.dll 16 07:373.760  
 28.10.2007 FNTCACHE.DAT 07 07:355.360  
 25.10.2007 shell32.dll 17 42:8.501.248  
 24.10.2007 jupdate-1.6.0_03-b05.log 07 44:5.628  
 20.10.2007 wmasf.dll 06 01:227.328  
 21.08.2007 inetcomm.dll 08 16:683.520  
 30.07.2007 wuaucpl.cpl.mui 19 20:30.040  
 30.07.2007 wuapi.dll.mui 19 20:30.040  
 30.07.2007 wuaueng.dll 19 19:1.712.984  
 30.07.2007 wuapi.dll 19 19:549.720  
 30.07.2007 wucltui.dll 19 19:325.976  
 30.07.2007 wuweb.dll 19 19:203.096  
 30.07.2007 wuaucpl.cpl 19 19:216.408  
 30.07.2007 cdm.dll 19 19:92.504  
 30.07.2007 wuauclt.exe 19 19:53.080  
 30.07.2007 wups2.dll 19 19:43.352  
 30.07.2007 wucltui.dll.mui 19 18:34.136  
 30.07.2007 wups.dll 19 18:33.624  
 30.07.2007 wuaueng.dll.mui 19 18:20.824  
 23.07.2007 jupdate-1.6.0_02-b06.log 17 35:5.156  
 09.07.2007 rpcrt4.dll 15 16:582.656  
 26.06.2007 msxml3.dll 08 08:1.104.896  
 24.06.2007 jupdate-1.6.0_01-b06.log 10 09:4.196  
 19.06.2007 gdi32.dll 15 31:282.112  
 17.05.2007 oleaut32.dll 13 28:549.376  
 08.05.2007 msxml4.dll 15 03:1.275.392  
 30.04.2007 wmp.dll 08 20:5.537.792  
 25.04.2007 schannel.dll 16 22:144.896  
 18.04.2007 msi.dll 18 13:2.854.400  
 16.04.2007 kernel32.dll 17 53:1.058.304  
***** ***** ***** ***** *****  
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****  
***** ***** ***** ***** *****  
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost
127.0.0.1       localhost
***** ***** ***** ***** *****  
***** Scanning Processe *****  
***** ***** ***** ***** *****  
Microsoft Windows XP [Version 5.1.2600]
https://www.paules-pc-forum.de  
***** Malware Team *****  
***** Ende des Scans 04.02.2008 um 18:48:01,73 ***

Bei gmer hab ich leider nicht verstanden was ich da machen muss.

05.02.2008, 09:31

Sieht soweit gut. Gmer nun ja dann machen es mal mit AVG:

AVG Anti-Rootkit Free
https://free.grisoft.com/doc/downloads-p ... /0?prd=arw ausführen

herunterladen, installieren (Normal interface, I agree, Next Install, Reboot/Finish (Neustart) , Neustart ->Doppelklick auf AVG Anti-Rootkit Free> Search for Rootkits> Alle Funde anhaken und löschen lassen (Remove selected items), außer diesen möglichen Funden: svchost.exe, services.exe, explorer.exe (kein Häkchen bei diesen!)

und dann Perfom in depth search auf alle Laufwerke scannen lassen
gleiches vorgehen wie oben beschrieben, solange das scannen wiederholen, bis außer den genannten Ausnahmen nichts mehr gefunden wird.

Wird nichts gefunden Congratulation > Close

und abschließend:

Onlinescan vom gesamten System (wähle Arbeitsplatz):
https://www.kaspersky.com/kos/german/par ... bscan.html
benötigt ActiveX --> IE ,
d.h. du mußt dafür Active X evtl. freigeben unter Interneteinstellungen.
Report vollständig posten.

Rootkit:W32/Settec.a was machen???

Rootkit:W32/Settec.a was machen???

Re: Rootkit:W32/Settec.a was machen???

Re: Rootkit:W32/Settec.a was machen???

Re: Rootkit:W32/Settec.a was machen???

Re: Rootkit:W32/Settec.a was machen???

Re: Rootkit:W32/Settec.a was machen???

Ähnliche Themen

TR/Rootkit.gen entfernen, aber wie ?

Far Cry 2 Map selber machen???

Rechner neu machen !!!

rootkit:w32/settec.a

trojan.rootkit.settec.a System32\auths infiziert ?