| |
| |||||||
Log-Analyse und Auswertung: Rootkit verdacht unter win7 64bit ultimateWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
13.11.2015, 13:42
| #1 |
 |  Rootkit verdacht unter win7 64bit ultimate Hallo habe das Gefühl das ich nicht alleine bin mit mein lapi...  wäre toll wenn sich mal einer diese log-datei anschauen könnte und mich entweder beruhigen kann oder mir im fall der fälle helfen kann es wieder los zu werden  Code:
ATTFilter GMER 2.1.19357 - hxxp://www.gmer.net
Rootkit scan 2015-11-13 13:30:47
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 WDC_WD1600BEVT-22ZCT0 rev.11.01A11 149,05GB
Running: Gmer-19357.exe; Driver: C:\Users\Leon\AppData\Local\Temp\pwtdrpow.sys
---- Kernel code sections - GMER 2.1 ----
.text C:\Windows\System32\win32k.sys!W32pServiceTable fffff96000125200 7 bytes [80, 65, F3, FF, 41, 73, F0]
.text C:\Windows\System32\win32k.sys!W32pServiceTable + 8 fffff96000125208 3 bytes [C0, 06, 02]
---- User code sections - GMER 2.1 ----
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000074ad1401 2 bytes JMP 74d8b21b C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000074ad1419 2 bytes JMP 74d8b346 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000074ad1431 2 bytes JMP 74e08fd1 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000074ad144a 2 bytes CALL 74d6489d C:\Windows\syswow64\kernel32.dll
.text ... * 9
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000074ad14dd 2 bytes JMP 74e088c4 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000074ad14f5 2 bytes JMP 74e08aa0 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000074ad150d 2 bytes JMP 74e087ba C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000074ad1525 2 bytes JMP 74e08b8a C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000074ad153d 2 bytes JMP 74d7fca8 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000074ad1555 2 bytes JMP 74d868ef C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000074ad156d 2 bytes JMP 74e09089 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000074ad1585 2 bytes JMP 74e08bea C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000074ad159d 2 bytes JMP 74e0877e C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000074ad15b5 2 bytes JMP 74d7fd41 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000074ad15cd 2 bytes JMP 74d8b2dc C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000074ad16b2 2 bytes JMP 74e08f4c C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe[1076] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000074ad16bd 2 bytes JMP 74e08713 C:\Windows\syswow64\kernel32.dll
.text C:\Program Files (x86)\QIP 2012\qip.exe[3356] C:\Windows\syswow64\kernel32.dll!CreateThread + 28 0000000074d634a1 4 bytes {CALL 0xffffffff8b6f0948}
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000074ad1401 2 bytes JMP 74d8b21b C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000074ad1419 2 bytes JMP 74d8b346 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000074ad1431 2 bytes JMP 74e08fd1 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 0000000074ad144a 2 bytes CALL 74d6489d C:\Windows\syswow64\kernel32.dll
.text ... * 9
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 0000000074ad14dd 2 bytes JMP 74e088c4 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 0000000074ad14f5 2 bytes JMP 74e08aa0 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 0000000074ad150d 2 bytes JMP 74e087ba C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000074ad1525 2 bytes JMP 74e08b8a C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 0000000074ad153d 2 bytes JMP 74d7fca8 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000074ad1555 2 bytes JMP 74d868ef C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 0000000074ad156d 2 bytes JMP 74e09089 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000074ad1585 2 bytes JMP 74e08bea C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 0000000074ad159d 2 bytes JMP 74e0877e C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 0000000074ad15b5 2 bytes JMP 74d7fd41 C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 0000000074ad15cd 2 bytes JMP 74d8b2dc C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 0000000074ad16b2 2 bytes JMP 74e08f4c C:\Windows\syswow64\kernel32.dll
.text C:\Users\Leon\Downloads\Gmer-19357.exe[2728] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 0000000074ad16bd 2 bytes JMP 74e08713 C:\Windows\syswow64\kernel32.dll
---- Kernel IAT/EAT - GMER 2.1 ----
IAT C:\Windows\System32\win32k.sys[ntoskrnl.exe!KeUserModeCallback] [fffff88001944824] \SystemRoot\system32\DRIVERS\360Box64.sys [.text]
---- Threads - GMER 2.1 ----
Thread C:\Windows\System32\svchost.exe [960:2092] 000007fef63544d0
Thread C:\Windows\System32\svchost.exe [960:2968] 000007fef6dd89b8
Thread C:\Windows\System32\svchost.exe [960:3820] 000007fef90f3efc
Thread C:\Windows\System32\svchost.exe [960:3512] 000007fef35d8a4c
Thread C:\Windows\system32\svchost.exe [1016:3388] 000007fefad84164
Thread C:\Windows\system32\svchost.exe [1016:3400] 000007fef6281ab0
Thread C:\Windows\system32\svchost.exe [1132:2800] 000007fef3450098
Thread C:\Windows\system32\svchost.exe [1132:2692] 000007fef6f05170
Thread C:\Windows\System32\spoolsv.exe [1432:2192] 000007fef3b810c8
Thread C:\Windows\System32\spoolsv.exe [1432:2324] 000007fef3b46144
Thread C:\Windows\System32\spoolsv.exe [1432:2188] 000007fefab25fd0
Thread C:\Windows\System32\spoolsv.exe [1432:2524] 000007fef3b23438
Thread C:\Windows\System32\spoolsv.exe [1432:1796] 000007fefab263ec
Thread C:\Windows\System32\spoolsv.exe [1432:1520] 000007fef6205e5c
Thread C:\Windows\system32\taskhost.exe [1544:2100] 000007fef9442740
Thread C:\Windows\system32\taskhost.exe [1544:2116] 000007fef8e11010
Thread C:\Windows\system32\taskhost.exe [1544:3972] 000007fef6f05170
Thread C:\Windows\System32\svchost.exe [2632:804] 000007fef77e9688
Thread C:\Windows\System32\svchost.exe [3768:3528] 000007fef6f05170
---- Processes - GMER 2.1 ----
Library C:\??\C:\Program Files (x86)\360\Total Security\safemon\SafeWrapper.dll (*** suspicious ***) @ C:\Windows\Explorer.EXE [1808] 0000000071e20000
---- Registry - GMER 2.1 ----
Reg HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted@C:\Program Files (x86)\SOFTONIC INTERNACIONAL S.A. \xa9 1997-2015\Windows_Repair_Professional\tweaking.com_windows_repair_aio_setup.exe 1
---- EOF - GMER 2.1 ----
|
| Themen zu Rootkit verdacht unter win7 64bit ultimate |
| appdata, bytes, c:\windows, code, driver, explorer.exe, gmer, harddisk, ide, microsoft, ntoskrnl.exe, registry, rootkit, scan, security, software, spoolsv.exe, svchost.exe, system, system32, temp, total, verdacht, win, win7 |
Baum-Darstellung