| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit - Weiterleitungen von bing/google auf unbekannte SeitenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.03.2012, 17:04
| #1 |
| |  Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten Hallo liebe Community, liebe Admins und Moderatoren, ich bin auf euer Forum gestoßen, als ich nach dem oben beschriebenen Problem gebingt habe. Das Problem ist gestern Abend aufgetreten und meine Microsoft Security Essentials zeigten Sirefef.(aa/f/...) Weiterleitungen von google/bing funktionieren seitdem nicht mehr. Ich dachte mir ich probiere es einfach mit nem Virenscanner im Bootmodus (hatte Avira gerade zur hand auf nem USB stick) der hat auch einiges gefunden, aber hat nichts gebracht. Beim Erstellen der gewünschten Logfiles tritt leider das Problem auf, dass DDS nach ca. 2-3 Minuten nichts mehr tut. Ich habe den Laptop hier (Windows 7/32bit) ca. 10-15min einfach machen lassen, es passiert nichts. Auch nach mehrmaligen Versuchen und schließen aller Programme nichts. Der Pc ist dann auch zu nichts mehr funktionfähig und lässt sich nur noch per Reset neustarten. Defrogger log: Code:
ATTFilter defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:52 on 05/03/2012 (xChr1s)
Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.
Checking for services/drivers...
-=E.O.F=-
GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-03-05 17:01:04
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 FUJITSU_MHV2120AT_PL rev.004200A0
Running: ew7g6iot.exe; Driver: C:\Users\xChr1s\AppData\Local\Temp\kwdiykob.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwSaveKey + 13CD 82C7E9A9 1 Byte [06]
.text ntoskrnl.exe!KiDispatchInterrupt + 5A2 82C9E4E2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text netbt.sys 8940030C 1 Byte [40]
.text netbt.sys 8940030C 33 Bytes [40, 00, 00, 42, 00, 00, 00, ...]
.text netbt.sys 89400331 1386 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text netbt.sys 8940089F 228 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text netbt.sys 89400984 3 Bytes [00, 00, 00]
.text ...
.INIT C:\Windows\System32\DRIVERS\netbt.sys entry point in ".INIT" section [0x8940E222]
? C:\Windows\System32\DRIVERS\netbt.sys suspicious PE modification
.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x92017000, 0x23097E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] ntdll.dll!LdrLoadDll 77D3223E 5 Bytes JMP 68E05B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!CryptImportPublicKeyInfoEx + 98 75F96CCA 7 Bytes JMP 3567574C C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[3680] CRYPT32.dll!I_CryptEnumMatchingLruEntries + D5D 75F9CADD 7 Bytes JMP 356757AC C:\Windows\system32\mswsock.dll (Microsoft Windows Sockets 2.0-Dienstanbieter/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume5 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume6 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004c halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
---- Modules - GMER 1.0.15 ----
Module (noname) (*** hidden *** ) 897E2000-897F1000 (61440 bytes)
---- Threads - GMER 1.0.15 ----
Thread System [4:280] 85BBB540
Thread System [4:284] 85BBB540
Thread System [4:3100] 9C724F2E
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost@netsvcs AeLookupSvc?CertPropSvc?SCPolicySvc?lanmanserver?gpsvc?IKEEXT?AudioSrv?FastUserSwitchingCompatibility?Ias?Irmon?Nla?Ntmssvc?NWCWorkstation?Nwsapagent?Rasauto?Rasman?Remoteaccess?SENS?Sharedaccess?SRService?Tapisrv?Wmi?WmdmPmSp?raidmagt?KMWDFilter?aolservice?s217mgmt?z525obex?SE26mdm?spmgr?sansaservice?protexislicensing?DivisCTS?datunidr?VICESYS?A88xXBar?pdlncbas?lvpr2mon?softfax?nmap?WmBEnum?yats32?DM9102?ssfs0509?se58mgmt?vpn5000service?rpaservice?hdthermal?TermService?wuauserv?BITS?ShellHWDetection?LogonHours?PCAudit?helpsvc?uploadmgr?iphlpsvc?seclogon?AppInfo?msiscsi?MMCSS?wercplsupport?EapHost?ProfSvc?schedule?hkmsvc?SessionEnv?winmgmt?browser?Themes?BDESVC?AppMgmt?
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winsat\MediaEx\8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c:AC\Clip_1080_5sec_MPEG2_HD_15mbps.mpg\GpuEngineUsage\A1/N1/E1@DwmR\x20ac\0\0 29
---- Files - GMER 1.0.15 ----
File C:\Windows\$NtUninstallKB15873$\1734495778 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\@ 2048 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\L 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\L\xadqgnnk 187904 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\loader.tlb 2632 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U 0 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@00000001 45968 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000c0 2560 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cb 3072 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@000000cf 1536 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@80000000 73216 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000c0 43520 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cb 25600 bytes
File C:\Windows\$NtUninstallKB15873$\3284402746\U\@800000cf 31232 bytes
---- EOF - GMER 1.0.15 ----
Bin für jede Hilfe sehr dankbar. Falls ich dds doch noch zum laufen bekomme füge ich das File ein. Mit den besten Grüßen Chris P.S. ich habe auf einer anderen Partion noch Fedora 16 liegen mit denen ich ein paar Files gesichert habe. Da sollte ja warscheinlich nichts infiziert sein, da mir der Fehler dort auch noch nicht vorgekommen ist. Oder? |
| Themen zu Rootkit - Weiterleitungen von bing/google auf unbekannte Seiten |
| avira, browser, firefox, harddisk, infiziert, locker, microsoft, microsoft security, microsoft security essentials, mozilla, ntdll.dll, problem, programme, registry, rootkit, scan, schließen, security, seiten, server, software, stick, svchost, system, temp, unbekannte seiten, usb, windows, wmi |
Baum-Darstellung