Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Rootkit? AVG meldet IRP-HOOK

Rootkit? AVG meldet IRP-HOOK


Log-Analyse und Auswertung: Rootkit? AVG meldet IRP-HOOK

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 10.11.2013, 22:03   #1
Pandorra.AC
 
Rootkit? AVG meldet IRP-HOOK - Standard

Rootkit? AVG meldet IRP-HOOK


Hallo zusammen,

heute hat AVG bei mir angeschlagen. Das Ergenis des heutigen Scans:

"Geplanter Scan"
"Mittlere Priorität";"15";"0";"15"
"Ausgewählte Ordner:";"Gesamten Computer scannen"
"Gestartet:";"10.11.2013, 12:00:00"
"Beendet:";"10.11.2013, 12:48:10"
"Gescannter Objekte:";"390228"
"Benutzer:";"SYSTEM"

"Status";"Priorität";"Name";"Beschreibung";"Ergebnis"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_POWER -> PCIIDEX.SYS +0x692";"C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_DEVICE_CONTROL -> CLASSPNP.SYS ClassIoComplete+0x1C8";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_WRITE -> CLASSPNP.SYS ClassCompleteRequest+0x13C";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_FLUSH_BUFFERS -> CLASSPNP.SYS ClassIoComplete+0xEF";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_SYSTEM_CONTROL -> CLASSPNP.SYS ClassInitialize+0x666";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_INTERNAL_DEVICE_CONTROL -> CLASSPNP.SYS ClassInternalIoControl";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_CREATE -> CLASSPNP.SYS ClassDebugPrint+0x618";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_PNP -> PCIIDEX.SYS PciIdeXDebugPrint+0x2D80";"C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_PNP -> CLASSPNP.SYS ClassDebugPrint+0x6FB";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2DB4";"C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_SHUTDOWN -> CLASSPNP.SYS ClassIoComplete+0xEF";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_POWER -> CLASSPNP.SYS ClassForwardIrpSynchronous+0xD8";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_INTERNAL_DEVICE_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2E38";"C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_READ -> CLASSPNP.SYS ClassCompleteRequest+0x13C";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"
"Infiziert";"Mittel";"IRP-Hook, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_CLOSE -> CLASSPNP.SYS ClassDebugPrint+0x618";"C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS";"Infiziert"


Daraufhind habe ich den Onlinescanner von F-secure bemüht - keine Funde.
Ebenfalls habe ich die Dateien pciide.sys, PCIIDEX.SYS, disk.sys und CLASSPNP.SYS bei virustotal hochgeladen - auch kein Fund.
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-11-10 21:39:22
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST31000528AS rev.CC35 931,51GB
Running: gmer_2.1.19163.exe; Driver: C:\DOKUME~1\FOO\LOKALE~1\Temp\pgtdypog.sys


---- System - GMER 2.1 ----

SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwNotifyChangeKey [0xAA9DD690]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwNotifyChangeMultipleKeys [0xAA9DD7B0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwOpenProcess [0xAA9DD010]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwOpenThread [0xAA9DD490]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwSuspendProcess [0xAA9DD2D0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwSuspendThread [0xAA9DD3B0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwTerminateProcess [0xAA9DD110]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwTerminateThread [0xAA9DD1F0]
SSDT            \SystemRoot\system32\DRIVERS\avgidsshimx.sys                                        ZwWriteVirtualMemory [0xAA9DD590]

---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                            section is writeable [0xB3D58000, 0x1E2E7A, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text           C:\Programme\Mozilla Firefox4\firefox.exe[2084] ntdll.dll!LdrLoadDll                7C925C35 5 Bytes  JMP 0162F920 C:\Programme\Mozilla Firefox4\xul.dll
.text           C:\Programme\Mozilla Firefox4\firefox.exe[2084] kernel32.dll!lstrlenW + 43          7C809AEC 7 Bytes  JMP 01DF32BD C:\Programme\Mozilla Firefox4\xul.dll
.text           C:\Programme\Mozilla Firefox4\firefox.exe[2084] kernel32.dll!MapViewOfFileEx + 6A   7C80B9A0 7 Bytes  JMP 01DF329A C:\Programme\Mozilla Firefox4\xul.dll
.text           C:\Programme\Mozilla Firefox4\firefox.exe[2084] kernel32.dll!ValidateLocale + B1D0  7C8449B0 7 Bytes  JMP 016340F6 C:\Programme\Mozilla Firefox4\xul.dll
.text           C:\Programme\Mozilla Firefox4\firefox.exe[2084] GDI32.dll!SetDIBitsToDevice + 20A   77EF9E14 7 Bytes  JMP 01DF321B C:\Programme\Mozilla Firefox4\xul.dll

---- Devices - GMER 2.1 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                              tdrpm124.sys
AttachedDevice  \Driver\Tcpip \Device\Ip                                                            avgtdix.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                           avgtdix.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                              tdrpm124.sys
AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                              tdrpm124.sys
AttachedDevice  \Driver\Tcpip \Device\Udp                                                           avgtdix.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                         avgtdix.sys

---- Files - GMER 2.1 ----

File            C:\Dokumente und Einstellungen\FOO\Lokale Einstellungen\temp\NOD6781.tmp          0 bytes
File            C:\Dokumente und Einstellungen\FOO\Lokale Einstellungen\temp\NOD6782.tmp          0 bytes

---- EOF - GMER 2.1 ----
Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=8
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=23f9784fc526b4489db3de8d1f5c3bf4
# engine=14209
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-06-30 01:17:06
# local_time=2013-06-30 03:17:06 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1039 16777213 100 91 11991 59732210 0 0
# scanned=186108
# found=1
# cleaned=1
# scan_time=6166
sh=DDAFA0ED26C325FAF1BE024B5C90EDDC5DDD4337 ft=1 fh=92ac88f048f3da4c vn="Win32/Adware.1ClickDownload.W Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Dokumente und Einstellungen\INet\Eigene Dateien\Downloads\hdplugin_firefox.exe"
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=23f9784fc526b4489db3de8d1f5c3bf4
# engine=15826
# end=finished
# remove_checked=false
# archives_checked=false
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-11-10 05:40:59
# local_time=2013-11-10 06:40:59 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# scanned=206314
# found=0
# cleaned=0
# scan_time=19907
Die logs von ESET und GMER hänge ich an diesen Post an.
Handelt es sich um falschen Alarm, oder habe ich mir wirklich was eingefangen?

mit freundlichen Grüssen
Pandorra

 

Themen zu Rootkit? AVG meldet IRP-HOOK
alarm, avg, beendet, c:\windows, classpnp.sys, computer, control, dateien, down, ergebnis, eset, falsche, gmer, hallo zusammen, infiziert, ntdll.dll, onlinescan, ordner, power, rootkit, scannen, shutdown, system, system32, virus, virustotal, windows


« Windows 7: Schadsoftware bei Online-Banking, nach Entfernung läuft MSE nur sporadisch | CPU-Auslastung 100% durch sychost.exe -> sehr lahmer PC (->plötzlich) - "ADWARE/Adppeeps.A" gefunden »


Ähnliche Themen: Rootkit? AVG meldet IRP-HOOK


  1. Regelmäßige Bluescreens und der Verdacht durch Rougekiller auf einen IRP Hook Rootkit
    Log-Analyse und Auswertung - 05.04.2015 (21)
  2. Avast meldet Rootkit bei neuem Laptop
    Plagegeister aller Art und deren Bekämpfung - 09.11.2014 (9)
  3. Avira meldet TR/Rootkit.Gen in C:windows/system32/drivers....was ist zu tun?
    Plagegeister aller Art und deren Bekämpfung - 19.07.2014 (22)
  4. AVG meldet Anti-Rootkit infektion unknown NtMapViewOfSection...
    Plagegeister aller Art und deren Bekämpfung - 04.05.2014 (14)
  5. irp-Hook Rootkit mit AVG 2014
    Log-Analyse und Auswertung - 14.01.2014 (13)
  6. AVG Meldung Anti-Rootkit (hidusb.sys, Import-Hook USBD.SYS), Unbekannter Speicherort
    Log-Analyse und Auswertung - 30.12.2013 (11)
  7. Befall von Maleware nach Download (u.a. Serach.New.Tab). GMER meldet Rootkit
    Log-Analyse und Auswertung - 02.11.2013 (14)
  8. win32k.sys inline-Hook Rootkit-Scan
    Plagegeister aller Art und deren Bekämpfung - 13.09.2013 (3)
  9. AVG meldet IRP-Hook Rootkit
    Log-Analyse und Auswertung - 09.02.2013 (13)
  10. AntiVir meldet TR/Rootkit.Gen2 und TR/Sirefef.BP.1 auf Win XP SP3
    Log-Analyse und Auswertung - 05.03.2012 (14)
  11. TR/Sirefef.BP.1 + TR/Rootkit.Gen2 - Antivir meldet Virus
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (13)
  12. avast! meldet Bedrohung: Win32:rootkit-gen [Rtk]
    Log-Analyse und Auswertung - 03.12.2010 (3)
  13. Gmer meldet Rootkit Verdacht: HIDDEN MSSQL Service
    Log-Analyse und Auswertung - 04.08.2010 (5)
  14. gmer meldet Rootkit activity svchost.exe
    Plagegeister aller Art und deren Bekämpfung - 24.01.2010 (15)
  15. BitDefender meldet Rootkit
    Log-Analyse und Auswertung - 20.01.2010 (9)
  16. RootKit Hook Analyzer zeigt Hook an
    Plagegeister aller Art und deren Bekämpfung - 04.02.2009 (3)
  17. Gmer meldet einen rootkit virus , msqpdxgeppfnhh.sys
    Log-Analyse und Auswertung - 18.01.2009 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit? AVG meldet IRP-HOOK - Hallo zusammen, heute hat AVG bei mir angeschlagen. Das Ergenis des heutigen Scans: "Geplanter Scan" "Mittlere Priorität";"15";"0";"15" "Ausgewählte Ordner:";"Gesamten Computer scannen" "Gestartet:";"10.11.2013, 12:00:00" "Beendet:";"10.11.2013, 12:48:10" "Gescannter Objekte:";"390228" "Benutzer:";"SYSTEM" "Status";"Priorität";"Name";"Beschreibung";"Ergebnis" "Infiziert";"Mittel";"IRP-Hook, - Rootkit? AVG meldet IRP-HOOK...
Archiv
Du betrachtest: Rootkit? AVG meldet IRP-HOOK auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19