Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 14.06.2021, 21:07   #1
Jana Bella
 
ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978 - Standard

ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978



Guten Abend liebe Leute ,

ich bin die Jana und IT Studentin an einer TU .

Ich weiss ganz sicher das ich mir ein Rootkit eingefangen habe.

Höchstwahrscheinlich über eine jpg pdf drive by attake oder einfach durch einen gezielten Hackerangriff.

An unserer Universität gibt es einige gute Computer Schüler .

Manchetesten auch einfach andere aus . Jetzt möchte ich auch mal etwas dagegen unternehmen .

In meinen Bekanntenkreis ist durchgesickert das mir jemand von denen ein Rootkit drauf gespielt hat.

und was ich an den letzten Abenden an meinen Computer und im Netz gemacht habe.

Jetzt will ich natürlich gegenmaßnahmen ergreifen und das Rootkit zweifelsfrei finden , ohne den PC neu Aufsetzen zu müssen.

Ich hoffe Jemand kann mir hier dabei helfen . Ich revanchiere mich auch gerne dafür

Ich habe bereits mit Malewarebytes TDSS Killer und anderen Tools danach gesucht .

Nichts wurde gefunden , auch kein Wunder bei einen Rootkit .

Jetzt habe ich noch mit GMER einen Scan gemacht und Auffälligkeiten festgestellt.

Gmer zeigt mir die Log Datei :

Code:
ATTFilter
---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                   fffff80002cf9682 1 byte [21]

---- Registry - GMER 2.2 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\402cf4d80747                      
Reg    HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\402cf4d80747 (not active ControlSet)  

---- EOF - GMER 2.2 ----


Bei geöffneten Firefox Browser sogar noch mehr :

GMER 2.2.19882 - hxxp://www.gmer.net
Rootkit scan 2021-06-14 21:35:02
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 INTEL_SSDSA2BW160G3H rev.4PC10365 149,05GB
Running: swf5n4yz.exe; Driver: C:\Users\Privat\AppData\Local\Temp\ugdiapob.sys


---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                                       fffff80002cf9682 1 byte [21]

---- User code sections - GMER 2.2 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!SetUnhandledExceptionFilter      0000000077428bc0 13 bytes {MOV R11, 0x7feefc711e4; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\USER32.dll!GetWindowInfo                      0000000077548a24 13 bytes {MOV R11, 0x7feef978fd0; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread              0000000077699870 7 bytes [48, B8, 0C, B9, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8          0000000077699878 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                   00000000776999e0 3 bytes [48, B8, 64]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 4               00000000776999e4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                       0000000077699a00 7 bytes [48, B8, E0, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                   0000000077699a08 7 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                0000000077699a10 3 bytes [48, B8, E0]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 4            0000000077699a14 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                 0000000077699a90 3 bytes [48, B8, 88]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 4             0000000077699a94 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                0000000077699aa0 3 bytes [48, B8, 1C]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 4            0000000077699aa4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                          0000000077699ad0 7 bytes [48, B8, 70, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                      0000000077699ad8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile               0000000077699b70 3 bytes [48, B8, B8]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 4           0000000077699b74 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                        0000000077699cf0 7 bytes [48, B8, 34, B6, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                    0000000077699cf8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                  000000007769a760 3 bytes [48, B8, 04]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 4              000000007769a764 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                        000000007769a7b0 3 bytes [48, B8, 40]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 4                    000000007769a7b4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile           000000007769a900 3 bytes [48, B8, CC]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 4       000000007769a904 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsFree + 8                      00000000774205d8 13 bytes {MOV R11, 0x7feeffb89e8; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsAlloc + 8                     0000000077426148 13 bytes {MOV R11, 0x7feeffb899c; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}

---- Registry - GMER 2.2 ----


DIE KERNELDATEI : C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978
         
kommt mir sehr verdächtig vor welche auch GMER anzeigt . Es soll auch Rootkits geben die nur bei geöffneten Browser (wie bei mir Firefox) aktiv sind .


Wer kann mir da bitte fachkundigen Rat geben und mir helfen den Übeltäter auf die Schkiche zu kommen .

Ganz Liebe Grüße Jana Bella

Geändert von cosinus (14.06.2021 um 21:23 Uhr) Grund: code tags

 

Themen zu ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978
aktiv, aufsetzen, auswertung, browser, computer, datei, exe, firefox, gmer, harddisk, jpg, log, mozilla, neu, ntoskrnl.exe, pdf, registry, rootkit, rootkits, scan, system, system32, tdss, temp, windows




Ähnliche Themen: ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978


  1. gmer rootkit log Auswertung
    Log-Analyse und Auswertung - 28.04.2017 (7)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  4. Rootkit? - Hilfe bei Auswertung von gmer Log
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  5. GMER meldet "hidden rootkit activity" & Rechner langsam
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (19)
  6. habe Malewarebytes,TDSS Killer,OTL und gmer vom Laptop Entfernt und danach ein avira fund ""EXP/JS.Expack.EB" gemacht
    Mülltonne - 05.02.2013 (1)
  7. Avast! findet "Rootkit: hiddenfile" in meinem Windows Ordner
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (1)
  8. Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (3)
  9. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  10. Rechner hängt sich bei GMER seit "Entfernung" von Windows Recovery auf
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (23)
  11. GMER Auswertung verdacht auf Rootkit
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (14)
  12. OSAM meldet Rootkit-Entry, Mawabytes/SuperAntiSpyware/GMER finden aber nichts
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (2)
  13. Rootkit,Malware,Trojaner k.a. "Windows Security alert"?
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (4)
  14. AVG findet "Trojan horse Generic15.EAM", Antimalware "Trojan.Agent" + "Rootkit.Agent"
    Plagegeister aller Art und deren Bekämpfung - 03.11.2009 (13)
  15. Es wird "äääääääää" und "$" eingefügt. Antvir, Malware finden nichts!
    Mülltonne - 07.07.2009 (0)
  16. Rechner langsam / Gmer meldet "Rootkit/Malware"
    Log-Analyse und Auswertung - 20.04.2009 (14)
  17. Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (30)

Zum Thema ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978 - Guten Abend liebe Leute , ich bin die Jana und IT Studentin an einer TU . Ich weiss ganz sicher das ich mir ein Rootkit eingefangen habe. Höchstwahrscheinlich über eine - ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978...
Archiv
Du betrachtest: ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.