rootkit:w32/settec.a

3Antworten
  1. #1
    Avatar von roeschen
    roeschen ist offline
    Themen Starter
    Title
    Benutzer
    seit
    12.02.2008
    Beiträge
    3

    Standard rootkit:w32/settec.a

    Hallo,

    Benutze F-secure
    der mir folgenden trojaner rootkit:w32/settec.a angezeigt hat

    bitte um hilfe

    hab schon einen Hijack check gemacht:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:54:02, on 11.02.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\acer\epm\epm-dm.exe
    C:\Programme\Launch Manager\QtZgAcer.EXE
    C:\Programme\Acer\eRecovery\Monitor.exe
    C:\Programme\F-Secure\Common\FSM32.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
    C:\Programme\Acronis\TrueImage\TrueImageMonitor.ex e
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
    C:\Programme\Winamp\winampa.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    C:\Programme\Skype\Phone\Skype.exe
    C:\WINDOWS\explorer.exe
    C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Programme\Skype\Plugin Manager\skypePM.exe
    C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    C:\Programme\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
    C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
    C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
    C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    C:\Programme\F-Secure\Anti-Virus\fssm32.exe
    C:\Programme\F-Secure\Common\FSMA32.EXE
    C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    C:\Programme\F-Secure\Common\FSMB32.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\F-Secure\Common\FCH32.EXE
    C:\Programme\F-Secure\Common\FAMEH32.EXE
    C:\Programme\F-Secure\Common\FNRB32.EXE
    C:\Programme\F-Secure\Anti-Virus\fsav32.exe
    C:\Programme\F-Secure\Common\FIH32.EXE
    C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
    C:\Programme\F-Secure\FSGUI\fsguiexe.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\WINDOWS\system32\NOTEPAD.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.at/
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPI nterface.dll (file missing)
    O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAma zonInterface.dll (file missing)
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
    O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEba yInterface.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [LaunchApp] Alaunch
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
    O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
    O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
    O4 - HKLM\..\Run: [eRecoveryService] C:\Programme\Acer\eRecovery\Monitor.exe
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe "
    O4 - HKLM\..\Run: [Acronis?True?Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.e xe"
    O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe
    O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msauite.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Programme\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsup ... SupCtl.cab
    O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://de.errorsafe.com/pages/scanner_d ... tallDE.cab
    O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - https://a532.g.akamai.net/f/532/6712/5m/ ... taller.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - BackWeb Technologies Inc. - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
    O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
    O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
    O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
    O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe
    O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe


    was soll ich machen?

    lg
    Roeschen
    Zitieren Zitieren
  2. #2
    Avatar von Cloneadmin
    Cloneadmin ist offline
    Title
    Benutzer
    seit
    23.02.2007
    Beiträge
    3.340

    Standard Re: rootkit:w32/settec.a

    Folgendes Fixen / Beheben

    Code:
    - O2 - BHO: metaspinner GmbH - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll (file missing)
- O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
- O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAmazonInterface.dll (file missing)
- O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEbayInterface.dll (file missing)
- O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msauite.exe
- O16 - DPF: {B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} - https://de.errorsafe.com/pages/scanner_d ... tallDE.cab
    Zitieren Zitieren
  3. #3
    Avatar von Johann Schmidt
    Johann Schmidt ist offline
    Title
    Benutzer
    seit
    17.08.2005
    Beiträge
    1.060

    Standard Re: rootkit:w32/settec.a

    Bei dem w32/settec.a handelt es sich um einen Rootkit. Der ist hartnäckig.
    Um ihn zu beseitigen mußt Du wie folgt vorgehen:
    1. Systemwiederherstellung deaktivieren
    2. PC runterfahren
    3 . Neustarten, dabei mehrfach die F8 Taste drücken um in den
    4. abgesicherten Modus zu kommen
    5. Rootkit mit HijackThis fixen ( neutralisieren )
    6. PC runterfahren
    7. Neustart
    8. Systemwiederherstellung aktivieren
    Zitieren Zitieren
  4. #4
    Avatar von Humdinger
    Humdinger ist offline
    Title
    Benutzer
    seit
    18.01.2008
    Ort
    Mainz
    Beiträge
    174

    Standard Re: rootkit:w32/settec.a

    und poste dann bitte einen neuen HijackThis log
    Zitieren Zitieren
« Immer die gleichen Updates | Report vom Virenscanner »

Ähnliche Themen

  1. TR/Rootkit.gen entfernen, aber wie ?

    Von Mick im Forum Antivirus und PC Sicherheit
    Antworten: 3
    Letzter Beitrag: 06.02.2010, 11:56

  2. Rootkit:W32/Settec.a was machen???

    Von gaga im Forum Antivirus und PC Sicherheit
    Antworten: 5
    Letzter Beitrag: 05.02.2008, 09:31

  3. trojan.rootkit.settec.a System32\auths infiziert ?

    Von wacker t. im Forum Antivirus und PC Sicherheit
    Antworten: 7
    Letzter Beitrag: 01.02.2008, 16:35
Diese Seite benutzt Cookies Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Infos zum Datenschutz