Zwei Datein was machen diese ???

[Source-Leecher]

Hi habe folgendes in meinen User order gefunden weiß aber nicht was es tut ?
Könnt ihr mir helfen !?

Kann die Datein leider nicht anhängen sind zu groß.
Wer mag kann mir privat seine e-mail geben ich schick ihm dann die zwei Datein zu
sie sind beide zusammen 35 kb groß

 

[xeno]

Hi habe folgendes in meinen User order gefunden weiß aber nicht was es tut ?
Könnt ihr mir helfen !?

nein ...

Kann die Datein leider nicht anhängen sind zu groß.
Wer mag kann mir privat seine e-mail geben ich schick ihm dann die zwei Datein zu
sie sind beide zusammen 35 kb groß

es wird niemand emails mit suspekten dateien von dir annehmen. erzähl lieber mal was über die dateinamen und lass hijackthis laufen. das ergebnis würde schon sehr weiterhelfen.

 

[Source-Leecher]

Die Datein Heißen lustiger weise:

x.exe
x.log

... joar und das is der inhalt der log :

where=C:\Dokumente und Einstellungen\user\.
dir=C:\Dokumente und Einstellungen\user\.

Vorher stand aber mehr drin wird wohl jetzt seine spuren verwischen !?

 

[xeno]

ich finde nichts was auf einen trojaner/virus hinweist.
lösch die dateien einfach wenn sie dich stören.

 

[Chakky]

Original von xeno
ich finde nichts was auf einen trojaner/virus hinweist.
lösch die dateien einfach wenn sie dich stören.

benenn die files einfach um in einer nicht ausführbaren endung wie ._exe_ reboot schau was passiert

 

[Source-Leecher]

Original von Chakky

Original von xeno
ich finde nichts was auf einen trojaner/virus hinweist.
lösch die dateien einfach wenn sie dich stören.

benenn die files einfach um in einer nicht ausführbaren endung wie ._exe_ reboot schau was passiert

Durch das umbennen ist die x.exe verschwunden oder gelöscht worden !!!

Ich wurde aber voher gefragt ob ich die datei überschreiben will : Das tat ich auch !?

 

[Chakky]

Original von Source-Leecher

Original von Chakky

Original von xeno
ich finde nichts was auf einen trojaner/virus hinweist.
lösch die dateien einfach wenn sie dich stören.

benenn die files einfach um in einer nicht ausführbaren endung wie ._exe_ reboot schau was passiert

Durch das umbennen ist die x.exe verschwunden oder gelöscht worden !!!

Ich wurde aber voher gefragt ob ich die datei überschreiben will : Das tat ich auch !?

hätte in dem augenblick nein geklickt.....

lass am besten adaware/antivir drüber laufen hört mich sehr nach trojaner an

 

[Source-Leecher]

Meine Antivieren Software meldet nichts (avast )

 

[2Bios]

Ich würde einmal Hijackthis drüberlaufen und die verdächtigen Dateien bei virustotal.com hochladen.
Edit: Ebenso würde ich mit Icesword das System einmal prüfen lassen.

 

[Grafix]

Original von Source-Leecher

Original von Chakky

Original von xeno
ich finde nichts was auf einen trojaner/virus hinweist.
lösch die dateien einfach wenn sie dich stören.

benenn die files einfach um in einer nicht ausführbaren endung wie ._exe_ reboot schau was passiert

Durch das umbennen ist die x.exe verschwunden oder gelöscht worden !!!

Ich wurde aber voher gefragt ob ich die datei überschreiben will : Das tat ich auch !?

Also wenn die Datei durch das blosse Umbennen verschwindet, klingt das sehr nach Filtern, evtl ein Rootkit.
Lass am Besten mal Rootkit Unhooker oder Vice durchlaufen und ein Log erstellen.
Oder erstell eine neue Datei mit dem gleichen Namen wie der, den du der alten Datei geben wolltest. Wenn dann gemeldet wird, dass so eine Datei schon existiert, sie aber nicht sichtbar ist, wird ganz klar irgendwo gefiltert.

 

[Source-Leecher]

Die x.exe läst sich erstellen sieht aber ohne icon als normale exe aus...
schätze er liest mit ;D

Was kann ich den euch bei Rookit Unhooker u.a . o.g Programme zu kommen lassen ?

>SSDT State
NtConnectPort
Actual Address 0xB5C5FEB0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateFile
Actual Address 0xB5C5C870
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateKey
Actual Address 0xB5C67700
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreatePort
Actual Address 0xB5C60270
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateProcess
Actual Address 0xB5C66500
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateProcessEx
Actual Address 0xB5C66730
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateSection
Actual Address 0xB5C6A090
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtCreateWaitablePort
Actual Address 0xB5C60350
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteFile
Actual Address 0xB5C5CEF0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteKey
Actual Address 0xB5C68720
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDeleteValueKey
Actual Address 0xB5C68360
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtDuplicateObject
Actual Address 0xB5C66270
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtEnumerateKey
Actual Address 0xF7ADD84C
Hooked by: sptd.sys

NtEnumerateValueKey
Actual Address 0xF7ADDBEC
Hooked by: sptd.sys

NtLoadKey
Actual Address 0xB5C68A60
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtOpenFile
Actual Address 0xB5C5CD40
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtOpenKey
Actual Address 0xF7AD8090
Hooked by: sptd.sys

NtOpenProcess
Actual Address 0xB5C65FC0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtOpenThread
Actual Address 0xB5C65DE0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtQueryKey
Actual Address 0xF7ADDCC4
Hooked by: sptd.sys

NtQueryValueKey
Actual Address 0xF7ADDB44
Hooked by: sptd.sys

NtRenameKey
Actual Address 0xB5C691D0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtReplaceKey
Actual Address 0xB5C68D50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtRequestWaitReplyPort
Actual Address 0xB5C5FB50
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtRestoreKey
Actual Address 0xB5C69000
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtSecureConnectPort
Actual Address 0xB5C60060
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtSetInformationFile
Actual Address 0xB5C5D060
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtSetValueKey
Actual Address 0xB5C67ED7
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtTerminateProcess
Actual Address 0xB5C66960
Hooked by: C:\WINDOWS\System32\vsdatant.sys

>Shadow
NtUserMessageCall
Actual Address 0xB5C5E1A0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtUserPostMessage
Actual Address 0xB5C5E230
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtUserPostThreadMessage
Actual Address 0xB5C5E2B0
Hooked by: C:\WINDOWS\System32\vsdatant.sys

NtUserSendInput
Actual Address 0xB5C5E470
Hooked by: C:\WINDOWS\System32\vsdatant.sys

>Processes
>Drivers
>Stealth
Unknown page with executable code
Address: 0x8316F9EE
Size: 1554
Unknown page with executable code
Address: 0x8316F706
Size: 2298
Unknown page with executable code
Address: 0x8319D3BD
Size: 3139
Unknown page with executable code
Address: 0x83175DE2
Size: 542
Unknown page with executable code
Address: 0x8319CD92
Size: 622
>Files
>Hooks
ntkrnlpa.exe-->IoCreateDevice, Type: EAT modification at address 0x80662A74 hook handler located in [unknown_code_page]
tcpip.sys-->ntkrnlpa.exe-->IoCreateDevice, Type: IAT modification at address 0xB5DDCF88 hook handler located in [unknown_code_page]
wanarp.sys-->ntkrnlpa.exe-->IoCreateDevice, Type: IAT modification at address 0xF7EA4C08 hook handler located in [unknown_code_page]
[2952]iexplore.exe-->user32.dll-->DialogBoxIndirectParamA, Type: Inline - RelativeJump at address 0x7E3A6B50 hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->DialogBoxIndirectParamW, Type: Inline - RelativeJump at address 0x7E382032 hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->DialogBoxParamA, Type: Inline - RelativeJump at address 0x7E38B10C hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->DialogBoxParamW, Type: Inline - RelativeJump at address 0x7E37555F hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->MessageBoxExA, Type: Inline - RelativeJump at address 0x7E3A05FC hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->MessageBoxExW, Type: Inline - RelativeJump at address 0x7E3A05D8 hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->MessageBoxIndirectA, Type: Inline - RelativeJump at address 0x7E38A04A hook handler located in [ieframe.dll]
[2952]iexplore.exe-->user32.dll-->MessageBoxIndirectW, Type: Inline - RelativeJump at address 0x7E3B62AB hook handler located in [ieframe.dll]
[3432]winamp.exe-->user32.dll-->DialogBoxParamA, Type: IAT modification at address 0x00461464 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->DrawTextA, Type: IAT modification at address 0x004615C8 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->EnableScrollBar, Type: Inline - RelativeJump at address 0x7E3B7DDD hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->EnableScrollBar, Type: Inline - SEH at address 0x7E3B7DE2 hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->EnableScrollBar, Type: Inline - SEH at address 0x7E3B7DE3 hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->GetScrollInfo, Type: Inline - RelativeJump at address 0x7E370DA2 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->GetScrollInfo, Type: Inline - SEH at address 0x7E370DA7 hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->GetScrollInfo, Type: Inline - SEH at address 0x7E370DA8 hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->GetScrollPos, Type: Inline - RelativeJump at address 0x7E37F6C4 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->GetScrollRange, Type: Inline - RelativeJump at address 0x7E37F747 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->SetScrollInfo, Type: Inline - RelativeJump at address 0x7E369056 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->SetScrollInfo, Type: Inline - SEH at address 0x7E36905B hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->SetScrollInfo, Type: Inline - SEH at address 0x7E36905C hook handler located in [unknown_code_page]
[3432]winamp.exe-->user32.dll-->SetScrollPos, Type: Inline - RelativeJump at address 0x7E37F710 hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->SetScrollRange, Type: Inline - RelativeJump at address 0x7E37F95B hook handler located in [gen_jumpex.dll]
[3432]winamp.exe-->user32.dll-->ShowScrollBar, Type: Inline - RelativeJump at address 0x7E37F2B3 hook handler located in [gen_jumpex.dll]
!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)

So ich leg mich jetzt hin und warte bis hilfe kommt