| |
| |||||||
Log-Analyse und Auswertung: Gen:Variant.Graftor.7553Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
13.04.2012, 19:39
| #1 |
| |  Gen:Variant.Graftor.7553 Hallo, auf meinem Rechner befindet sich die Datei cltLMSx.dll. Die ist bei einem Scan mit der Desinfect CD von der ct (09/2012) auffällig geworden. Ich habe die Datei bei virustotal und Jotti checken lassen. Bei Virustotal sagen 3 von 42 Virenscannern es handele sich um die Schadsoftware Gen:Variant.Graftor.7553. Auch bei Jotti sagen 3 von 20 Virenscannern, dass es sich um ein Problem handelt. Dies sind Bitdefener, F-Secure und GData. Heißt das jetzt, dass ich einen Virus habe oder besteht die Hoffung, dass es sich um einen "Fehlalarm" handelt, da die meisten Virenprogramme kein Problem in der Datei feststellen? Wenn ich einen Virus habe muss ich dann das System neu aufsetzen oder kann ich ihn irgendwie entfernen? Vielen Dank für die Hilfe, Eva Anbei DDS.txt, attach.txt (s.u.) und hier Das Gmer-Ergebnis: GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-04-13 20:13:35 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.14.0 Running: 6rthpdst.exe; Driver: C:\Users\Karla\AppData\Local\Temp\kglcqpoc.sys ---- System - GMER 1.0.15 ---- SSDT 87333080 ZwAlertResumeThread SSDT 86588C80 ZwAlertThread SSDT 872723F8 ZwAllocateVirtualMemory SSDT 86AEF268 ZwAlpcConnectPort SSDT 86BAE668 ZwAssignProcessToJobObject SSDT 872F8E98 ZwCreateMutant SSDT 87327CC8 ZwCreateSymbolicLinkObject SSDT 87335190 ZwCreateThread SSDT 873341A0 ZwCreateThreadEx SSDT 86BAE768 ZwDebugActiveProcess SSDT 87272550 ZwDuplicateObject SSDT 873049F0 ZwFreeVirtualMemory SSDT 87325B98 ZwImpersonateAnonymousToken SSDT 87333048 ZwImpersonateThread SSDT 86772A48 ZwLoadDriver SSDT 873031A0 ZwMapViewOfSection SSDT 872F8DD8 ZwOpenEvent SSDT 873252A8 ZwOpenProcess SSDT 86B41CF0 ZwOpenProcessToken SSDT 87321E88 ZwOpenSection SSDT 87326EF0 ZwOpenThread SSDT 873342A0 ZwProtectVirtualMemory SSDT 872D1D60 ZwResumeThread SSDT 87333120 ZwSetContextThread SSDT 8732AAE8 ZwSetInformationProcess SSDT 86BAE828 ZwSetSystemInformation SSDT 87321F48 ZwSuspendProcess SSDT 87303D60 ZwSuspendThread SSDT 873043F8 ZwTerminateProcess SSDT 87326DB0 ZwTerminateThread SSDT 87335900 ZwUnmapViewOfSection SSDT 87326EA8 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKey + 13C1 82E75359 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82EAED52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!KeRemoveQueueEx + 10DB 82EB5DB0 8 Bytes [80, 30, 33, 87, 80, 8C, 58, ...] .text ntkrnlpa.exe!KeRemoveQueueEx + 10F3 82EB5DC8 4 Bytes [F8, 23, 27, 87] .text ntkrnlpa.exe!KeRemoveQueueEx + 10FF 82EB5DD4 4 Bytes [68, F2, AE, 86] .text ntkrnlpa.exe!KeRemoveQueueEx + 1153 82EB5E28 4 Bytes [68, E6, BA, 86] .text ntkrnlpa.exe!KeRemoveQueueEx + 11CF 82EB5EA4 4 Bytes [98, 8E, 2F, 87] .text ... .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x91E3E000, 0x353037, 0xE8000020] ? C:\Users\Karla\AppData\Local\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001f3ad3f68b Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80 Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80@e4ec10816099 0xDF 0xCF 0xEC 0x30 ... Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80@00027625d8f0 0xE6 0x69 0xCB 0xD5 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001f3ad3f68b (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80@e4ec10816099 0xDF 0xCF 0xEC 0x30 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80@00027625d8f0 0xE6 0x69 0xCB 0xD5 ... ---- Files - GMER 1.0.15 ---- File C:\Windows\assembly\NativeImages_v2.0.50727_32\index904.dat 0 bytes File C:\Windows\assembly\NativeImages_v2.0.50727_32\index905.dat 0 bytes File C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAP149.tmp 0 bytes ---- EOF - GMER 1.0.15 ---- |
|
13.04.2012, 19:42
| #2 |
| /// Malware-holic   | Gen:Variant.Graftor.7553 hi,
__________________lad die dll mal hoch: Trojaner-Board Upload Channel danach: Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
__________________ |
|
13.04.2012, 20:09
| #3 |
| | Gen:Variant.Graftor.7553 hier kommen OTL.txt und Extra.txt
__________________ |
|
14.04.2012, 20:07
| #4 |
| /// Malware-holic | Gen:Variant.Graftor.7553 hab noch mal sicherheitshalber nachgefragt und kann dir daher noch kein ergebniss liefern, die dll sollte aber sauber sein, die ist digital signiert. ergebniss kommt aber noch
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
14.04.2012, 20:35
| #5 |
| | Gen:Variant.Graftor.7553 danke für´s kümmern! zur Ergänzung: diese dll wurde zuerst unter: C:Programme..Norton... gefungen. Linuxmäßig gelöscht befindet sie sich jetzt unter: C: .Trash-999. |
|
15.04.2012, 16:42
| #6 |
| /// Malware-holic | Gen:Variant.Graftor.7553 jo, ist ja auch bestandteil von norton software, zumindest laut zertifikat.
__________________ --> Gen:Variant.Graftor.7553 |
|
19.04.2012, 17:54
| #7 |
| | Gen:Variant.Graftor.7553 Ich geh mal davon aus, dass es ein Fehlalarm war und lösche den Trash 999-Ordner. Oder? Vielen Dank und liebe Grüße, Eva |
|
19.04.2012, 18:03
| #8 |
| /// Malware-holic | Gen:Variant.Graftor.7553 hatte da keine antwort bekommen, sorry. aber ich bin sehr sicher das das nen fp ist
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.04.2012, 19:04
| #9 |
| | Gen:Variant.Graftor.7553 was heisst fp? |
|
19.04.2012, 19:08
| #10 |
| /// Malware-holic | Gen:Variant.Graftor.7553 false positive (fehlalarm)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
19.04.2012, 19:19
| #11 |
| | Gen:Variant.Graftor.7553 |
|
19.04.2012, 19:19
| #12 |
| /// Malware-holic | Gen:Variant.Graftor.7553 das gleiche :-)
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
|
| Themen zu Gen:Variant.Graftor.7553 |
| appdata, aufsetzen, checken, code, datei, driver, entfernen, fehlalarm, harddisk, ide, index, jotti, neu, neu aufsetzen, not, problem, programme, rechner, registry, scan, services, system, system neu, system32, temp, virus, virustotal |
Linear-Darstellung
