Maleware: win32:Rootkit-gen[Rtk]

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Zrs, 25.06.2008.

  1. Zrs

    Zrs Erfahrener Benutzer

    Dabei seit:
    25.06.2008
    Beiträge:
    117
    Zustimmungen:
    0
    Hallo,

    habe vor einigen Wochen mein Laptop neu aufsetzten lassen; durch eine Drittperson (da ich selbst leider überhaupt nicht der PC-Spezialist bin). Hatte vorher Windows Vista drauf - fand ich aber zu langsam/umständlich. Er hat mir dann das Windows XP installiert.
    Jetzt habe ich (Meldung durch avast--> C:\WINDOWS\system32) diesen Rootkit drauf. Habe dann das AVG-Programm installiert und laufen lassen.
    Wie schlimm ist das?; habe gelesen, dass man besser neu aufsetzen sollte (bzgl. Passwörter etc)

    Habe anschliessend noch ein Logfile erstellt, da ich aber keine Ahnung habe, wäre ich froh, wenn dies jemand begutachten kann, wie schlimme es ist! Und mir dann hilfreiche Ratschläge erteilen kann.




    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 12:13:32, on 25.06.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\stsystra.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\PROGRA~1\AVG\AVG8\avgtray.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Duden\Duden Korrektor\dktray.exe
    C:\Program Files\PeerGuardian2\pg2.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\Duden\Duden Korrektor\DKCore.exe
    C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\PROGRA~1\AVG\AVG8\avgam.exe
    C:\PROGRA~1\AVG\AVG8\avgrsx.exe
    C:\PROGRA~1\AVG\AVG8\avgnsx.exe
    C:\PROGRA~1\AVG\AVG8\avgemc.exe
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Common Files\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\PROGRA~1\AVG\AVG8\avgscanx.exe
    C:\WINDOWS\system32\wisptis.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\HiJackThis\HijackThis.exe

    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
    O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
    O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
    O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Program Files\Duden\Duden Korrektor\dktray.exe
    O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
    O20 - AppInit_DLLs: avgrsstx.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
    O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: XAudioService - Conexant Systems, Inc. - C:\WINDOWS\system32\DRIVERS\xaudio.exe

    --
    End of file - 5005 bytes

    Dank!
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 julchri, 25.06.2008
    julchri

    julchri Super-Moderatorin

    Dabei seit:
    28.12.2005
    Beiträge:
    10.561
    Zustimmungen:
    0
    Ort:
    Bayern
    Hallo,

    Dein logfile ist vollkommen sauber, außer zwei unnötigen Einträgen.
    Lass doch mal Deinen Virenscanner im abgesicherten Modus (F8 beim starten klicken) laufen und lösche, was gefunden wird. Vorher Systemwiederherstellung deaktivieren und danach wieder einschalten.
    Wie lautet denn die Meldung genau?
     
  4. Zrs

    Zrs Erfahrener Benutzer

    Dabei seit:
    25.06.2008
    Beiträge:
    117
    Zustimmungen:
    0
    Hey,

    Danke für die Antwort!

    AVG ist eine Demo-Version, welche jetzt bald abläuft. Habs irgendwie nicht so richtig kapiert mit dem abgesicherten Modus. Sorry - funktioniert das überhaupt mit dieser Demo-Version?

    Die Virenmeldung tauchte auf, als ich mein USB-Stick am Laptop angebracht habe. Avast meldete den Virus (-->verschob den Virus in die Quarantäne), doch die Virenmeldung erschien immer wieder, ca. alle 10 Sec. So habe ich dann AVG installiert und durchgescant & die Dateien in die Quarantäne verschoben resp. geheilt was möglich war. Jetzt findet er nichts mehr aufregendes..

    Traue der Sache aber nicht, da ich leider zu wenig Ahnung habe..



    Mfg
     
  5. #4 Humdinger, 25.06.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Bei einem Rootkit Verdacht ist eine gründliche Überprüfung anzuraten (bevor das Bankkonto etc.. leergeräumt ist) :

    CCLEANER ausführen
    http://www.paules-pc-infothek.de/ppf2/viewtopic.php?t=1138

    Malwarebytes anwenden (kompletter Scan)
    alle Funde löschen lassen + poste den Report
    http://www.virus-protect.org/artikel/tools/malwarebytes.html

    PC Neustart


    poste das log von windowsscan
    http://virus-protect.org/artikel/tools/windowsscan.html

    poste dieses log von Combofix, klicke die Warnmeldung weg
    http://virus-protect.org/artikel/tools/combofix.html
     
  6. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
Thema: Maleware: win32:Rootkit-gen[Rtk]
Besucher kamen mit folgenden Suchen
  1. rootkit meldung avg

    ,
  2. win32:Rootkit-gen schlimm oder nicht

    ,
  3. win32 rootkit-gen rtk auf original pc spiel

    ,
  4. rootkit gen start.exe usb,
  5. rootkit-gen rtk,
  6. win32 rootkit-gen rtk sony,
  7. dktray.exe löschen,
  8. dktray.exe,
  9. win32:Rootkit-gen auf usb stick
Die Seite wird geladen...

Maleware: win32:Rootkit-gen[Rtk] - Ähnliche Themen

  1. rootkit

    rootkit: hallo leser, musste heut feststellen das mein rechner mit rootkits befallen ist.erster fund von spybot search and destroy2 auf "PhysicalDrive...
  2. Win32.Trojan.Agent erkannt

    Win32.Trojan.Agent erkannt: Guten Abend! Auf meinem Laptop hat das programm "Ad-Aware (Free ?) (Internet Security ?)" das gefunden: Ein schädliches Objekt eines hohen...
  3. [V] iPod touch 32Gb 3. Gen

    [V] iPod touch 32Gb 3. Gen: Hallo, ich verkaufe hier meinen iPod touch der 3. Generation. Der iPod liegt hier seit Monaten nur rum, da ich mir ein Smartphone gegönnt habe,...
  4. PCI-E Problem (LÜFTER ZU GROß) Asus Maximus IV Gene-z/Gene3

    PCI-E Problem (LÜFTER ZU GROß) Asus Maximus IV Gene-z/Gene3: Hallo liebe Modernboard-community, ich bin neue hier und habe gleich ein anliegen, hoffe das ich hier richtig damit bin und das mir wer helfen...
  5. Infektion mit: win32:whenu-h, malware.gen

    Infektion mit: win32:whenu-h, malware.gen: Hallo zusammen Ich denke alles ist wieder in Ordnung. Kann trotzdem einer meine Logfiles kurz checken. Vorgeschichte: 1. heute Computer...