| |
| |||||||
Log-Analyse und Auswertung: T-Online meldet Torpig und MebrootWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.08.2011, 20:42
| #1 | |
| |  T-Online meldet Torpig und Mebroot Guten Tag allerseits, mein Problem ist dem Problem von MfromH sehr ähnlich, deswegen habe ich denselben Titel gewählt. Ein Freund hat von der Telekom Abuse Team eine Warnung erhalten, dass von seinem Anschluss aus Angriffe auf andere Rechner erfolgen. Auf Nachfrage wurde mitgeteilt, dass er ein Sinkhole kontaktiert hat. Zitat:
Ich habe im oben genannten Thread mitgelesen, konnte daraufhin mit GMER einen vermutlich mit dem Rootkit Sinowal verseuchten Rechner identifizieren, siehe GMER-Log. Reicht es, den Rechner von einer CD zu booten und den MBR neu zu schreiben? Kann man die atksgt.sys und xcpip.sys löschen, wenn der Rechner von einer CD gebootet wurde ? Vielen Dank für eure Hilfe, in der Hoffnung noch einige Tipps zu bekommen Michael MBAM Logging Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7336
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
31.07.2011 15:37:58
mbam-log-2011-07-31 (15-37-58).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 257908
Laufzeit: 2 Stunde(n), 52 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-08-01 19:51:37
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380022A rev.3.33
Running: qtr3zz9c.exe; Driver: C:\DOKUME~1\Hauke\LOKALE~1\Temp\uxtdapoc.sys
---- System - GMER 1.0.15 ----
SSDT BA9BBB3E ZwCreateKey
SSDT BA9BBB34 ZwCreateThread
SSDT BA9BBB43 ZwDeleteKey
SSDT BA9BBB4D ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF750BC7E]
SSDT sptd.sys ZwEnumerateValueKey [0xF750BFF6]
SSDT BA9BBB52 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF750BA18]
SSDT BA9BBB20 ZwOpenProcess
SSDT BA9BBB25 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF750C0C0]
SSDT sptd.sys ZwQueryValueKey [0xF750BF58]
SSDT BA9BBB5C ZwReplaceKey
SSDT BA9BBB57 ZwRestoreKey
SSDT BA9BBB48 ZwSetValueKey
SSDT BA9BBB2F ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? C:\WINDOWS\System32\Drivers\SPTD0045.SYS Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
? system32\drivers\xpsec.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAFBAA300, 0x3ACC8, 0xE8000020]
? system32\drivers\xcpip.sys Das System kann den angegebenen Pfad nicht finden. !
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF781F300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00759F7E
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!send 71A14C27 5 Bytes JMP 00759B1B
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00759E30
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00759BFC
.text C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe[212] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00759CCF
.text C:\WINDOWS\system32\winlogon.exe[788] Secur32.dll!LsaLogonUser 77FC33D8 5 Bytes JMP 01482C81
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01879F7E
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!send 71A14C27 5 Bytes JMP 01879B1B
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01879E30
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01879BFC
.text C:\Programme\Avira\AntiVir Desktop\sched.exe[1728] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01879CCF
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 03F69F7E
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!send 71A14C27 5 Bytes JMP 03F69B1B
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 03F69E30
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!recv 71A1676F 5 Bytes JMP 03F69BFC
.text C:\Programme\Avira\AntiVir Desktop\avguard.exe[1832] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 03F69CCF
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01839F7E
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!send 71A14C27 5 Bytes JMP 01839B1B
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01839E30
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01839BFC
.text C:\Programme\ICQ6Toolbar\ICQ Service.exe[1912] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01839CCF
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B39F7E
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B39B1B
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B39E30
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B39BFC
.text C:\WINDOWS\System32\alg.exe[2564] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B39CCF
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00B99F7E
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!send 71A14C27 5 Bytes JMP 00B99B1B
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00B99E30
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00B99BFC
.text C:\Programme\iPod\bin\iPodService.exe[2640] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00B99CCF
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01249F7E
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!send 71A14C27 5 Bytes JMP 01249B1B
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01249E30
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01249BFC
.text C:\WINDOWS\system32\Ati2evxx.exe[3312] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01249CCF
.text C:\WINDOWS\Explorer.EXE[3496] USER32.dll!DisplayExitWindowsWarnings 7E3A9F91 5 Bytes JMP 00EF2A93
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 00DE9F7E
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!send 71A14C27 5 Bytes JMP 00DE9B1B
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 00DE9E30
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!recv 71A1676F 5 Bytes JMP 00DE9BFC
.text C:\WINDOWS\Explorer.EXE[3496] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 00DE9CCF
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 012A9F7E
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!send 71A14C27 5 Bytes JMP 012A9B1B
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 012A9E30
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!recv 71A1676F 5 Bytes JMP 012A9BFC
.text C:\Programme\PC Connectivity Solution\ServiceLayer.exe[3808] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 012A9CCF
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 01079F7E
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!send 71A14C27 5 Bytes JMP 01079B1B
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSARecv 71A14CB5 5 Bytes JMP 01079E30
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!recv 71A1676F 5 Bytes JMP 01079BFC
.text C:\Programme\iTunes\iTunesHelper.exe[4080] WS2_32.dll!WSASend 71A168FA 5 Bytes JMP 01079CCF
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F7514DB2] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A71E] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference] [F75153B2] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer] [F75152B6] sptd.sys
IAT ftdisk.sys[ntoskrnl.exe!IofCallDriver] [F7515482] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A032] sptd.sys
IAT PartMgr.sys[ntoskrnl.exe!IoDetachDevice] [F7514F6E] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IofCompleteRequest] [F7529C76] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7514E06] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7507A32] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7507B6E] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7507AF6] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F75086CC] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75085A2] sptd.sys
IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A864] sptd.sys
IAT \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice] [F7519F78] sptd.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7529C82] sptd.sys
IAT \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F752A864] sptd.sys
IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest] [F7529C76] sptd.sys
IAT \SystemRoot\system32\DRIVERS\rdbss.sys[ntoskrnl.exe!IofCallDriver] [F7507020] sptd.sys
IAT \SystemRoot\system32\DRIVERS\mrxsmb.sys[ntoskrnl.exe!IofCallDriver] [F7507020] sptd.sys
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A34A808
Device \FileSystem\Udfs \UdfsCdRom 89EABD80
Device \FileSystem\Udfs \UdfsDisk 89EABD80
Device \Driver\NetBT \Device\NetBT_Tcpip_{3A4D1200-9397-4E8E-9F22-0F3FA3CC45E6} 8A0D30E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A34AEB0
Device \Driver\NetBT \Device\NetBT_Tcpip_{041FEC7F-1FC5-42C2-872E-33B4CD361153} 8A0D30E8
Device \Driver\Cdrom \Device\CdRom0 8A16BEB0
Device \FileSystem\Rdbss \Device\FsWrap 8A11A6B0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdePort0 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdePort1 [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F7869B40] atapi.sys[unknown section] {MOV EAX, 0x8a34ab98; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device \Driver\Cdrom \Device\CdRom1 8A16BEB0
Device \Driver\USBSTOR \Device\00000076 8A26B7F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 8A0D30E8
Device \Driver\USBSTOR \Device\00000078 8A26B7F8
Device \Driver\NetBT \Device\NetbiosSmb 8A0D30E8
Device \Driver\Disk \Device\Harddisk0\DR0 8A34AA40
Device \Driver\Disk \Device\Harddisk1\DR4 8A34AA40
Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+5 8A34AA40
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A219EB0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A219EB0
Device \FileSystem\Npfs \Device\NamedPipe 8A1BA9F0
Device \Driver\Ftdisk \Device\FtControl 8A34AEB0
Device \FileSystem\Msfs \Device\Mailslot 8A11B0E8
Device \FileSystem\Cdfs \Cdfs 8A3870E8
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50 0x9E 0x03 0xB4 0xEC ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0009dd508cbc@0025676a5a50 0x9E 0x03 0xB4 0xEC ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -1708384478
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 36670921
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 1319591190
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Programme\Alcohol Soft\Alcohol 120\
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior
Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 156296388
Disk \Device\Harddisk0\DR0 PE file @ sector 156296410
Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!!
---- EOF - GMER 1.0.15 ----
|
| Themen zu T-Online meldet Torpig und Mebroot |
| .dll, abuse team, anschluss, antivir, avira, booten, classpnp.sys, desktop, explorer, hal.dll, harddisk, icq, ip-adresse, löschen, malicious win32:mbroot code, mbroot, mebroot, neu, port, problem, programme, registry, rootkit, router, scan, sched.exe, secur, sinkhole, sinowal, sptd.sys, system, telekom abuse team, temp, usbport.sys, warnung, winlogon.exe |
Baum-Darstellung