rootkit on board

RiggiT · 28.04.2007, 20:14

Moin ich habe nen rootkit on board, trojaner halt der ROOTKIT HOOK ANALYZER sagt:

LOG:

Service name Syscall Address Hooked Module Product Company Description
----------------------------------------------------------------------------------------------------------------------------------------
NtCreateKey, ZwCreateKey 41 0xF7410B3A YES sptd.sys
NtEnumerateKey, ZwEnumerateKey 71 0xF7410C7E YES sptd.sys
NtEnumerateValueKey, ZwEnumerateValueKey 73 0xF7410FF6 YES sptd.sys
NtOpenKey, ZwOpenKey 119 0xF7410A18 YES sptd.sys
NtOpenProcess, ZwOpenProcess 122 0xEFF3C68C YES guard.sys
NtQueryKey, ZwQueryKey 160 0xF74110C0 YES sptd.sys
NtQueryValueKey, ZwQueryValueKey 177 0xF7410F58 YES sptd.sys
NtSetValueKey, ZwSetValueKey 247 0xF7411148 YES sptd.sys
NtUnloadKey, ZwUnloadKey 263 0xA86446D0 YES uphcleanhlp.sys

-----------------> Ich kann auch net mehr in den abgesicherten Modus, gibt es da ne Lösung ohne neu aufsetzen?

Danke im vorraus

RiggiT · 28.04.2007, 20:15

ich hate spy doctor an und antivir dabei......

**McFly** · 28.04.2007, 21:01

Poste mal das Ergebnis vom Blacklight:

http://forum.windowspower.de/Anleitu...r--w9383-.html

und poste auch mal eine Hijackthis.log:

http://forum.windowspower.de/Anleitu...is-w7976-.html

RiggiT · 29.04.2007, 14:13

moin mein hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 2:00:25 PM, on 4/29/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Matlab\webserver\bin\win32\matlabserver.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
c:\matlab\bin\win32\matlab.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\PowerISO\SCDEmuApp.exe
C:\Program Files\Razer\Copperhead\razertra.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
D:\games\steam\steam.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Power DVD Player\PowerDVDPlayer.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\iTemp\fsbl.exe
c:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,,,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1AFB9C93-DA2B-460E-8384-4D5B5D6C59DF} - C:\WINDOWS\system32\occached.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Copperhead] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [SCDEmuApp.exe] C:\Program Files\PowerISO\SCDEmuApp.exe
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power DVD Player] "C:\Program Files\Power DVD Player\PowerDVDPlayer.exe" hmw
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {F4430FE8-2638-42e5-B849-800749B94EED} - (no file)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab53083.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Matlab\webserver\bin\win32\matlabserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

---------------------------------------------------------------------------------------
Mein F-Secure Blacklight log:
Blacklight hat nix gesagt, nix gefunden, in den Logfiles stehen komische Nummern, ohne irgendwelche Prozesse etc. Ich denke, das hilft net

Also erstmal ein fettes Lob an die, die hier helfen, warum habt ihr da so viel Ahnung. Ich bin leider so einer, der immer Fragen stellt, naja Danke nochmal.

**McFly** · 29.04.2007, 14:33

Hallo RiggiT,

ohne viel zu lesen und tüfteln kommst du nicht herrum um Schadsoftware
den Garaus zu machen

.

Die Dateien von oben (ROOTKIT HOOK ANALYZER verdächtig) sind:

sptd.sys = Programm Safeguard Easy
guard.sys = Ewido / AVG Anti Spyware
uphcleanhlp.sys = norm. Treiber MS (is used for completely terminate the user Session when a user logs off.
Manufacturer: Microsoft Corp (Read more)

Deinstalliere den Spyware Doctor -> Es wird grade untersucht ob es wirklich das tut, was es vorgibt zu sein, da es viele Programme dieser Sorte gibt die das Gegenteil bewirken.

Benutze stattdessen das Programm Hitman Pro

Überprüfe diese Dateien:

C:\Program Files\Power DVD Player\PowerDVDPlayer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\occached.dll

mit folgenden Internetseiten:

Was tun mit verdächtigen Dateien?

und Poste das Ergebnis.

Danach lade dir das Escan / MWav herrunter (kann etwas dauern, der Server ist nicht der schnellste):

escan Anleitungen

installieren, updaten, scannen im abgesicherten Modus (Anleitung).

Auch davon bitte das Ergebnis posten, dann sehen wir weiter.

RiggiT · 30.04.2007, 08:04

Hey hi, habe deine Anweisung befolgt der dvdplayer.exe war n worm anscheinend alles andere clean oder ad-aware use der anderen 2 Dateien

-------> Hitman Pro gedownt, durchlaufen lassen, ist ja echt krass, diese vollautomatisierung mit programmen runterladen und so.

-------> Dann den Schritten für den abgesicherten modus gefolgt, bumms
ich konnte ja nie im abgesicherten hochfahren, hatte ich ja geschrieben. Habe jetzt
den abgesicherten modus über msconfig gemacht, jetzt hat er ne dauerschleife, weil windows immer im abgesicherten modus hochfahren will, wie komme ich denn jetzt daraus. Oder ist die Antwort einfacher als ich dachte?

escan hab ich gedownt, wollte dann in den abgesicherten, doch so sicher war das nett °°
der fährt immer wieder neu hoch, bestimmt wegen der datei spt.sys oder was das war, jedenfalls, denke ich wir sitzen in ner Zwickmühle, die wir uns selber gebaut haben

bin schon gespannt auf die Antwort

RiggiT · 04.05.2007, 00:40

war n bissl komisch die sptd ist immer noch befallen meiner meinung nach. Aber
hier der Log.

escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Fri May 04 00:33:47 2007 => Version 9.1.9
Fri May 04 00:03:30 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:25:06 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:25:20 2007 => Virus-Datenbank Datum: 4/27/2007
Fri May 04 00:33:49 2007 => Virus-Datenbank Datum: 4/27/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 00:09:31 2007 => System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Einträge entfernt.
Fri May 04 00:10:04 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Einträge entfernt.
Fri May 04 00:10:04 2007 => System found infected with savenow Adware (C:\WINDOWS\system32\ccrpftv6.ocx)! Action taken: Einträge entfernt.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Fri May 04 00:10:04 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Fri May 04 00:10:04 2007 => Offending file found: C:\WINDOWS\system32\ccrpftv6.ocx
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\videokeycodec !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\magnet !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ZoneMap\Domains\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\p3p\history\gator.com !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\exp lorer\menuorder\start menu2\programs\pesttrap !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\software\microsoft\windows\currentversion\exp lorer\menuorder\start menu2\programs\virusbursters !!!
Fri May 04 00:09:33 2007 => Offending Key found: HKCU\\magnet !!!
Fri May 04 00:10:09 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{69e587cf-4025-11da-aed8-806d6172696f} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 04 00:25:06 2007 => Gefundene Viren: 12
Fri May 04 00:25:06 2007 => Anzahl Fehler: 214
Fri May 04 00:25:06 2007 => Dauer des Scans bisher: 00:16:39
Fri May 04 00:25:06 2007 => Gescannte Dateien: 43859
Fri May 04 00:08:19 2007 => Specherüberprüfung: Aktiviert
Fri May 04 00:08:19 2007 => Registry Überprüfung: Aktiviert
Fri May 04 00:08:19 2007 => System-Ordner Überprüfung: Aktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Systembereiche: Deaktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Dienste: Aktiviert
Fri May 04 00:08:19 2007 => Überprüfung der Festplatten: Deaktiviert
Fri May 04 00:08:19 2007 => Überprüfung aller Festplatten :Aktiviert