|
Log-Analyse und Auswertung: TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.01.2009, 03:36 | #1 |
| TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken! Hallo zusammen!! Da ich vor kurzem einen verseuchten USB Stick an meinen Rechner angschlossen habe und mir Avira einen TR/Dropper.Gen gemeldet hat, will ich nun nur sicher gehen, dass sich nix bei mir eingenistet hat. Eine Freundin, die sich auch von der Uni Daten auf dem USB Stick mitgenommen hatte, musste bereits ihren Rechner neuinstallieren, da sie so ein Rootkit im System32 hatte und man schon ihre Passwörte von mehreren Accounts geändert hatte. Hier mal meine Logfiles, hoffentlich kann mir jemand helfen!!!!!!! Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:24:52, on 22.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\Programme\Intel\Wireless\Bin\WLKeeper.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe D:\Spyware\Spyware Doctor\pctsAuxs.exe D:\Spyware\Spyware Doctor\pctsSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\igfxpers.exe C:\Programme\SigmaTel\C-Major Audio\WDM\stsystra.exe C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe D:\Spyware\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe D:\Daemon Tools\DAEMON Tools Lite\daemon.exe C:\Programme\DNA\btdna.exe C:\WINDOWS\System32\igfxsrvc.exe C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe C:\WINDOWS\system32\wuauclt.exe D:\Mozilla Firefox\firefox.exe C:\Programme\Avira GmbH\Avira RootKit Detection\avirarkd.exe C:\DOKUME~1\Cici\LOKALE~1\Temp\qmlgruct.exe D:\Hijackthis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\System32\igfxpers.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ISTray] "D:\Spyware\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Daemon Tools\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [Skype] "D:\Download\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Office\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Spyware\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Spyware\Spyware Doctor\pctsSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe -- End of file - 5643 bytes Zudem hab ich Antivir drüber laufen lassen mit dem Ergebniss von 2 Warnungen von Dateien, die nicht geöffnet werden können, darauf hab ich diese dann bei Virustotal checken lassen!! Doch kein Programm hat was entdeckt!!! File size: 51224 bytes MD5...: e654b78d2f1d791b30d0ed9a8195ec22 SHA1..: da84f39cb6aef15aa944d5071fd710c3bc73f197 SHA256: a42704cc68b4f93454ef2493770df372fd2dd17f37a5a624fc77133c8591f108 SHA512: 709958ff2241a2c879ff5da36af75bb9440d86b8a838ae2f06a29f3add301687 4513f9251c6be8d7e37cf518c5b592a026c5ba63c9d446ab8c97e0b202338a12 ssdeep: 768:e53FKSUAg+c6uzJBXJDy0g1FX3vxBytplKKEf/jKv:SLcDzfXSh/x0Pq/k PEiD..: - TrID..: File type identification Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) Was schlagt ihr vor?? Ich brauche nen sicheren Rechner, da ich in Spanien sitzte und meine ganzen Bankangelegenheiten nur online regeln kann!! Besten Dank für Eure Hilfe! |
22.01.2009, 04:20 | #2 |
| TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken! C:\DOKUME~1\Cici\LOKALE~1\Temp\qmlgruct.exe
__________________Was ist denn das? Nicht einmal google bringt resultate zu solch einem exe File. ruct steht allerdings für (Latin: belch; eject, send out; expel).. Auch ein laufender Process aus diesem Ordner finde ich etwas merkwürdig.. Wunder nimmt was die Experten dazu sagen Geändert von PSilocYbin (22.01.2009 um 04:50 Uhr) |
22.01.2009, 17:20 | #3 |
| TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken! Hi Ho!!
__________________Was soll ich nun machen?!?!? Abwarten und auf keinen Fall Online Banking, was?? Ich hab nun nochmal GMER drüber laufen lassen und auch Malware, was nix gefunen hat??Doch das neue Logfile von GMER zeigt nun ganz viele Einträge unter Rootkit/ Maleware! Ich kenn mich einfach viel zu wenig, besser gesagt überhaupt gar nicht damit aus, kann mir nicht jemand helfen????? GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2009-01-21 14:39:50 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateKey [0xA7C237A6] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcess [0xA7C20794] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwCreateProcessEx [0xA7C20F1E] SSDT BA7104E4 ZwCreateThread SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwDeleteKey [0xA7C241F0] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwDeleteValueKey [0xA7C2442A] SSDT sprz.sys ZwEnumerateKey [0xB9EC6CA2] SSDT sprz.sys ZwEnumerateValueKey [0xB9EC7030] SSDT sprz.sys ZwOpenKey [0xB9EA80C0] SSDT BA7104D0 ZwOpenProcess SSDT BA7104D5 ZwOpenThread SSDT sprz.sys ZwQueryKey [0xB9EC7108] SSDT sprz.sys ZwQueryValueKey [0xB9EC6F88] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwRenameKey [0xA7C2512A] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwSetValueKey [0xA7C2483C] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwTerminateProcess [0xA7C1FD0A] SSDT \SystemRoot\system32\drivers\iksysflt.sys (System Filter Device Driver/PCTools Research Pty Ltd.) ZwWriteVirtualMemory [0xA7C1F384] ---- Kernel code sections - GMER 1.0.14 ---- .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtClose 7C91CFD0 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtClose + 4 7C91CFD4 2 Bytes [ 2C, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateFile 7C91D090 1 Byte [ FF ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateFile + 2 7C91D092 1 Byte [ 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateFile + 4 7C91D094 2 Bytes [ 17, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateKey 7C91D0D0 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateKey + 4 7C91D0D4 2 Bytes [ 05, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateSection 7C91D160 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtCreateSection + 4 7C91D164 2 Bytes [ 23, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtDeleteKey 7C91D230 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtDeleteKey + 4 7C91D234 2 Bytes [ 0B, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtDeleteValueKey 7C91D250 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtDeleteValueKey + 4 7C91D254 2 Bytes [ 11, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtRenameKey 7C91DA40 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtRenameKey + 4 7C91DA44 2 Bytes [ 14, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtSetInformationFile 7C91DC40 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtSetInformationFile + 4 7C91DC44 2 Bytes [ 20, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtSetValueKey 7C91DDB0 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtSetValueKey + 4 7C91DDB4 2 Bytes [ 0E, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtTerminateProcess 7C91DE50 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtTerminateProcess + 4 7C91DE54 2 Bytes [ 26, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteFile 7C91DF60 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteFile + 4 7C91DF64 2 Bytes [ 1A, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteFileGather 7C91DF70 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteFileGather + 4 7C91DF74 2 Bytes [ 1D, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteVirtualMemory + 4 7C91DF94 2 Bytes [ 29, 5F ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] kernel32.dll!LoadLibraryExW + C4 7C801BB9 4 Bytes [ 43, E4, 34, 84 ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] kernel32.dll!FreeLibrary + 15 7C80AC83 4 Bytes [ B5, 53, EF, F4 ] .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] USER32.dll!SetWindowsHookExW 7E37820F 6 Bytes JMP 5F320F5A .text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] USER32.dll!SetWindowsHookExA 7E381211 6 Bytes JMP 5F2E0F5A ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 89C431F8 Device \Driver\usbuhci \Device\USBPDO-0 899C81F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BD61F8 Device \Driver\dmio \Device\DmControl\DmConfig 89BD61F8 Device \Driver\dmio \Device\DmControl\DmPnP 89BD61F8 Device \Driver\dmio \Device\DmControl\DmInfo 89BD61F8 Device \Driver\usbuhci \Device\USBPDO-1 899C81F8 Device \Driver\usbuhci \Device\USBPDO-2 899C81F8 Device \Driver\usbuhci \Device\USBPDO-3 899C81F8 Device \Driver\usbehci \Device\USBPDO-4 899CB1F8 Device \Driver\PCI_PNP4586 \Device\00000049 sprz.sys Device \Driver\Ftdisk \Device\HarddiskVolume1 89C451F8 Device \Driver\Ftdisk \Device\HarddiskVolume2 89C451F8 Device \Driver\Ftdisk \Device\HarddiskVolume3 89C451F8 Device \Driver\Ftdisk \Device\HarddiskVolume4 89C451F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{B8071E12-F82A-4B26-82B0-93EE4EC1CCA9} 899FA500 Device \Driver\NetBT \Device\NetBt_Wins_Export 899FA500 Device \Driver\NetBT \Device\NetbiosSmb 899FA500 Device \Driver\usbuhci \Device\USBFDO-0 899C81F8 Device \Driver\usbuhci \Device\USBFDO-1 899C81F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 898A2500 Device \Driver\usbuhci \Device\USBFDO-2 899C81F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 898A2500 Device \Driver\usbuhci \Device\USBFDO-3 899C81F8 Device \Driver\usbehci \Device\USBFDO-4 899CB1F8 Device \Driver\Ftdisk \Device\FtControl 89C451F8 Device \Driver\sptd \Device\3425139586 sprz.sys Device \Driver\a0dm6iz5 \Device\Scsi\a0dm6iz51 89939500 Device \FileSystem\Cdfs \Cdfs 897DC500 ---- Registry - GMER 1.0.14 ---- Es ist zu lang und passt gar nicht alles hier rein, bestimmt kein gutes Zeichen was???? |
22.01.2009, 17:34 | #4 |
| TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken! Und da bin ich nochmal! Also ich hab die Datei mal gesucht!!! text C:\DOKUME~1\Cici\LOKALE~1\Temp\vusznlic.exe[3940] ntdll.dll!NtWriteVirtualMemory 7C91DF90 3 Bytes [ FF, 25, 1E ] Aus Verzweifelung habe ich mir von Avira ein Rootkit-Tool runtergelanden, was diese besagt Datei sein muss! Zumindestens zeigt es mir mein Computer so an! Bin dem Pfand oben gefolgt und die Datei hat das Bildchen von Avira und es steht auch so in der Beschreibung! Wäre cool, wenn alles nur falscher Alarm wäre, kann ich eigentlich im Moment nicht gebrauchen, hab nächste Woche Klausuren! Gruß, tía |
Themen zu TR/Dropper.Gen auf USB entdeckt - Rootkit im System! Bitte Logfiles checken! |
adobe, antivir, antivirus, avira, bho, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, monitor, mozilla, registry, rootkit, security, senden, skype.exe, software, spyware, stick, system, tr/dropper.gen, tuneup.defrag, usb, windows, windows xp |