| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Viren Rescue CDs starten nichtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.12.2012, 10:58
| #1 |
 |  Viren Rescue CDs starten nicht Moin moin, ich habe einen Rechner auf dem ich eine Infektion vermute. Nun habe ich mit zahlreichen Virenscan CDs (erstellt auf einem sauberen Rechner) versucht diesen Rechner zu untersuchen. Doch leider ohne Erfolg. Folgende Fehler treten beim Scan auf: - Antivir Rescue CD - Startet und bleibt dann nach der Initialisierung im schwarzen Bildschirm hängen - Bitdefender - Startet und bleibt im Logo Bildschirm hängen. Also bevor die Interaktion möglich wäre. - AVG Antivir - startet und ein Scan ist möglich, sogar mit Virendatenbank Update (kein Befund), aber wenn ich die Programmdaten (11/2012) update und danach einen Scan starte, bricht der Rechner in die Konsole ab. - Trinity Rescue Kit - Auch ohne Erfolg Ich habe auch zahlreiche Versuche mit bootfähigen USB-Virenscans probiert, sowie den Rechner mit und ohne Internetverbindung gestartet. Somit kann kein Virus/ Rootkit gefunden werden. Diese blockierten Virenscans stimmen mich wirklich kritisch. Nun hab ich einen GMER Logfile nach Anleitung erstellt: GMER Logfile: Code:
ATTFilter GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-12-20 09:08:26
Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 SAMSUNG_HD103SJ rev.1AJ10001
Running: ghc242ukp.exe; Driver: C:\Users\dennis\AppData\Local\Temp\pgloqpog.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeKey [0x9554C004]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwNotifyChangeMultipleKeys [0x9554C0D4]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0x9554BD76]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0x9554BE1E]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0x9554BEBA]
SSDT \SystemRoot\system32\DRIVERS\avgidsshimx.sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0x9554BF56]
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 82A3FA49 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A794D2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!KeRemoveQueueEx + 1357 82A8078C 8 Bytes [04, C0, 54, 95, D4, C0, 54, ...] {ADD AL, 0xc0; PUSH ESP; XCHG EBP, EAX; AAM 0xc0; PUSH ESP; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeRemoveQueueEx + 139F 82A807D4 4 Bytes [76, BD, 54, 95] {JBE 0xffffffffffffffbf; PUSH ESP; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeRemoveQueueEx + 166F 82A80AA4 8 Bytes [1E, BE, 54, 95, BA, BE, 54, ...] {PUSH DS; MOV ESI, 0xbeba9554; PUSH ESP; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeRemoveQueueEx + 16E3 82A80B18 4 Bytes [56, BF, 54, 95]
PAGE spsys.sys!?SPRevision@@3PADA + 4F90 B2C5C000 154 Bytes [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 502B B2C5C09B 135 Bytes [8B, FF, 55, 8B, EC, E8, 31, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 50B3 B2C5C123 629 Bytes [75, C5, B2, FE, 05, 34, 75, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 5329 B2C5C399 101 Bytes [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE spsys.sys!?SPRevision@@3PADA + 538F B2C5C3FF 148 Bytes [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE ...
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\Windows\system32\msiexec.exe[3840] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [74ADFFF6] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\system32\msiexec.exe[3840] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [74ADFFF6] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\system32\msiexec.exe[3840] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [74ADFFF6] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\system32\msiexec.exe[3840] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [74ADFFF6] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Windows\system32\msiexec.exe[3840] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [74ADFFF6] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )
AttachedDevice \Driver\tdx \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
Device \Driver\ACPI_HAL \Device\0000004b halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\tdx \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume10 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume11 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat avgidsfilterx.sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. )
---- Files - GMER 1.0.15 ----
File C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb 524288 bytes
---- EOF - GMER 1.0.15 ----
Vielen Dank für die Hilfe. Ergänzend habe ich noch ein SysInternals Rootkit Revealer Test laufen lassen, leider ist das Log nicht kopierbar: WSMan - Registry - Security Mismatch (mehrfach) RmMetadaten - Hidden to API $UsnJrnl - Hidden to API 108.000 Dateien - visible in API, not shown in MFT or Directory (mit und ohne NTFS Erkennung eingestellt) |
| Themen zu Viren Rescue CDs starten nicht |
| .dll, antivir, avg, bildschirm, bitdefender, defender, driver./avg, fehler, folge, gmer, harddisk, logfile, monitor, msiexec.exe, rescue cd, rootkit, scan, starten, starten nicht, stimmen, system, system32, tcp, temp, udp, update, verbindung, viren |
Baum-Darstellung