Du bist nicht eingeloggt.

Login
Pass

Registrieren
Community

CommuniX

MyProfile

MyGroups

Forum

eMeetings

Flohmarkt

Quiz

Szene & News

Parties

Fotos

Redaktion

Termine

Locations

Restaurants

Discos

Bars

Cafes

Impressum

Hilfe

Werbung

Das Team

Jobs

Kontakt

Forum / Bits und Bytes

Win32:Rootkit-gen [Rtk]

Zip-Crack - 44
Halbprofi (offline)

Dabei seit 11.2008
101 Beiträge

Geschrieben am: 27.11.2008 um 18:19 Uhr
Zuletzt editiert am: 27.11.2008 um 18:39 Uhr
mein lieblingstool hat ne virenmeldung gegeben eine malware namens Win32:Rootkit-gen [Rtk]

ich arbeite in einem internetcafe, die kunden rechner sind mit einem PC sheriff geschützt das heist nach einem neustart sind die rechner so wie configuriert, auch gespeicherte dateien sind bei einem geschlossenem sheriff wieder weg.

bei einem rechner (nur einer) kommt nach dem neustart die virenmeldung ...

der hauptrechner ist ungeschützt ich mache downloads nur von einem kundenrechner aus, hab mir auch was verseuchtes gedownloadet aber nach nem neustart war alles wieder gut.

vom hauptrechner aus treibe ich mich nur in foren wie hier rum.

kann das ein netzwerkvirus sein der sich im hauptrechner versteckt? oder iss das nur ein fehlalarm von avast?

hab mit so nem tool mal das ergebniss :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:40, on 27.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
H:\Programme\Alwil Software\Avast4\ashServ.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Alwil Software\Avast4\ashDisp.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
H:\Programme\NCH Swift Sound\BroadWave\broadwave.exe
H:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
H:\WINDOWS\system32\svchost.exe
H:\Programme\Alwil Software\Avast4\ashMaiSv.exe
H:\Programme\Alwil Software\Avast4\ashWebSv.exe
H:\Programme\Windows Media Player\wmplayer.exe
H:\Programme\DNA\btdna.exe
H:\WINDOWS\explorer.exe
H:\Programme\INTERCAFE\Intercafe.exe
H:\Programme\InterCall\InterCall.exe
H:\Dokumente und Einstellungen\Admin\Desktop\Downloads\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircdown.com/de/index.php?rvs ... 8892e=6076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: E-Zsoft VideoDownloaderToolBar - {4322A444-92F8-4C3E-BD4C-013BA51E2871} - H:\Programme\VersalSoft\InternetDownload\VDTB.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {FD621E34-BFCE-41D3-BF58-43FF97746AD7} - (no file)
O3 - Toolbar: E-Zsoft VideoDownloaderToolBar - {4322A444-92F8-4C3E-BD4C-013BA51E2871} - H:\Programme\VersalSoft\InternetDownload\VDTB.dll
O4 - HKLM\..\Run: [avast!] "H:\Programme\Alwil Software\Avast4\ashDisp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "H:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Search - ?p=ZSzim029YYDE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: CarbonPoker - {e4e8c758-34b4-44bb-8ef9-1f0786e81d2d} - H:\WINDOWS\system32\shdocvw.dll (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{90E3ABE6-A348-4773-A425-033F30761A97}: NameServer = 192.168.1.1,194.25.2.129
O23 - Service: Apple Mobile Device - Apple Inc. - H:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - H:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - H:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - H:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - H:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - H:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BroadWave (BroadWaveService) - NCH Software - H:\Programme\NCH Swift Sound\BroadWave\broadwave.exe
O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - H:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - H:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - H:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - H:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: Event Log Watch (LogWatch) - Computer Associates - H:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PD91Agent - Raxco Software, Inc. - H:\Programme\Raxco\PerfectDisk2008\PD91Agent.exe
O23 - Service: PD91Engine - Raxco Software, Inc. - H:\Programme\Raxco\PerfectDisk2008\PD91Engine.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - H:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - H:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Messenger USN Journal Reader-Service für freigegebene Ordner (usnjsvc) - Unknown owner - H:\Programme\MSN Messenger\usnsvc.exe (file missing)

--
End of file - 7136 bytes


das iss vom hauptrechner der amateutrhaft eingerichtet wurde also bitte nicht auslachen mein privat pc ist bestimmt besser eingerichtet^^

wer weis hilfe?

Edit : der virus befindet sich scheinbar in dem ordner : Downloads/Mario Forever.exe
öhm ich kenne mario Forever.exe gar nicht und die datei existiert auch nicht


[verlinkte Grafik wurde nicht gefunden]

Zum genauer anschauen

alles was cdu wählt und konservativ verseucht ist gehört zwangstherapiert.
Zip-Crack - 44
Halbprofi (offline)

Dabei seit 11.2008
101 Beiträge

Geschrieben am: 27.11.2008 um 19:06 Uhr
wo sind die specis wenn man sie braucht

*Wuähähähähähähähähäähähhähähähähä*

[verlinkte Grafik wurde nicht gefunden]

alles was cdu wählt und konservativ verseucht ist gehört zwangstherapiert.
illfaervegur
Halbprofi (offline)

Dabei seit 07.2008
255 Beiträge
Geschrieben am: 27.11.2008 um 19:20 Uhr
Zuletzt editiert am: 27.11.2008 um 19:21 Uhr
Ja, das ist irgentwie blöd mit dem Win32:Rootkit-gen... ähhm ja mit anderen Tools versuchen oder mit einer Linux-AntiVirus CD booten oder System neu installieren im Notfall

alles ohne Haftung und Gewähr^^


Ach so Mario Forever ist ein Super Mario Clone

Moin
Zip-Crack - 44
Halbprofi (offline)

Dabei seit 11.2008
101 Beiträge

Geschrieben am: 27.11.2008 um 19:22 Uhr

Zitat von illfaervegur:

Ja, das ist irgentwie blöd mit dem Win32:Rootkit-gen... ähhm ja mit anderen Tools versuchen oder mit einer Linux-AntiVirus CD booten oder System neu installieren im Notfall

alles ohne Haftung und Gewähr^^


Ach so Mario Forever ist ein Super Mario Clone


ich hab keine spiele auf den rechnern und schon gar kein mario .. die datei gibts gar nicht echt seltsam ... ach scheiße ist das son netzwerkscheis der auf alle rechner verteilt wird .. ?

alles was cdu wählt und konservativ verseucht ist gehört zwangstherapiert.
Zip-Crack - 44
Halbprofi (offline)

Dabei seit 11.2008
101 Beiträge

Geschrieben am: 27.11.2008 um 19:32 Uhr
Zuletzt editiert am: 27.11.2008 um 20:49 Uhr
netzwerkvirus deshalb .. weil seltsamerweise beim aktiven pc sheriff nach nem neustart der virus immer noch da ist obwohl es gar nicht sein kann weil man bei aktivem sheriff gar nichts speichern kann .. weil nach nem neustart alles weg ist .. echt seltsam

laut heise ist die datei marioforever.exe ein virus einer seite auf der ich nie war und auch kein kunde ... da hab ich wohl in spieleforen eine bestimmte person überprovoziert^^

alles was cdu wählt und konservativ verseucht ist gehört zwangstherapiert.
  [Antwort schreiben]

Forum / Bits und Bytes

(c) 1999 - 2026 team-ulm.de - all rights reserved - hosted by ibTEC Team-Ulm

- Presse - Blog - Historie - Partner - Nutzungsbedingungen - Datenschutzerklärung - Jugendschutz -