Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rechner langsam / Gmer meldet "Rootkit/Malware"

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Alt 14.04.2009, 08:00   #1
Hal
 
Rechner langsam / Gmer meldet "Rootkit/Malware" - Standard

Rechner langsam / Gmer meldet "Rootkit/Malware"



Hallo,

letzte Woche wollte ich den Rechner eines Bekannten wieder flott machen, nachdem dieser wohl schon längere nicht mehr richtig in Benutzung war. Mir fiel auf, dass die Mühle unverhältmäßig langsam war, weshalb ich mal MBAM drübergejagt habe. So auffällig schien mir das Ergebnis aber nicht, habe dann aber noch mal mit FSBL, MBR, HijackThis, Gmer nachgeschaut, wobei GMER dann unter "Rootkit/Malware" tatsächlich etwas gemeldet hat. Nun, voilà:

HijackThis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:42:38, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\atiptaxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\gmer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.stonec.com:2095/horde/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://192.168.1.1:3128/ken2000.html
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

--
End of file - 4876 bytes
         
MBAM-Log:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1955
Windows 5.1.2600 Service Pack 3

09.04.2009 12:27:08
mbam-log-2009-04-09 (12-27-08).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 151662
Laufzeit: 1 hour(s), 49 minute(s), 22 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ide21201.vxd (Adware.WinButler) -> Quarantined and deleted successfully.
         
Gmer-Log:
Code:
ATTFilter
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-14 08:35:10
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT  FA0521DC                                                                                          ZwCreateThread
SSDT  FA0521C8                                                                                          ZwOpenProcess
SSDT  FA0521CD                                                                                          ZwOpenThread
SSDT  FA0521D7                                                                                          ZwTerminateProcess
SSDT  FA0521D2                                                                                          ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

?     lmjdo.sys                                                                                         Das System kann die angegebene Datei nicht finden. !

---- Registry - GMER 1.0.15 ----

Reg   HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32@                C:\WINDOWS\System32\Bcbpqifm.dll
Reg   HKLM\SOFTWARE\Classes\CLSID\{7CFBACFF-EE01-1231-ABDD-416592E5D639}\InProcServer32@ThreadingModel  Apartment

---- EOF - GMER 1.0.15 ----
         
Und der Vollständigkeit halber noch FSBL und MBR:
Code:
ATTFilter
04/07/09 10:40:57 [Info]: BlackLight Engine 2.2.1092 initialized
04/07/09 10:40:57 [Info]: OS: 5.1 build 2600 (Service Pack 3)
04/07/09 10:40:58 [Note]: 7019 4
04/07/09 10:40:58 [Note]: 7005 0
04/07/09 10:41:13 [Note]: 7006 0
04/07/09 10:41:13 [Note]: 7011 120
04/07/09 10:41:13 [Note]: 7035 0
04/07/09 10:41:13 [Note]: 7026 0
04/07/09 10:41:14 [Note]: 7026 0
04/07/09 10:41:36 [Note]: FSRAW library version 1.7.1024
04/07/09 10:53:12 [Note]: 7007 0
         
Code:
ATTFilter
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Besteht da jetzt Handlungsbedarf?

- Hal.

 

Themen zu Rechner langsam / Gmer meldet "Rootkit/Malware"
adobe, antivir, antivirus, avira, bho, desktop, einstellungen, excel, explorer, firefox, hijack, hijack.system.hidden, hijackthis, hkus\s-1-5-18, internet, internet explorer, langsam, logfile, malwarebytes' anti-malware, mbr rootkit, mozilla, object, plug-in, programme, registrierungsschlüssel, registry, software, stealth mbr rootkit, superantispyware, system, windows, windows xp




Ähnliche Themen: Rechner langsam / Gmer meldet "Rootkit/Malware"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Browser-Schutz "Secure Banking" meldet bei Firefox Malware
    Log-Analyse und Auswertung - 04.05.2014 (24)
  3. WIN 7: Malwarebytes Anti-Malware meldet "PUM.UserWLoad" & "Trojan.Ransom"
    Log-Analyse und Auswertung - 04.09.2013 (21)
  4. avast! meldet potenzielles Rootkit "SVC:SystemStoreService"
    Plagegeister aller Art und deren Bekämpfung - 30.06.2013 (20)
  5. Avira meldet "TR/Downloader.Gen8" und "TR/Matsnu.EB.130" nach öffnen von Malware
    Plagegeister aller Art und deren Bekämpfung - 20.03.2013 (32)
  6. GMER meldet "hidden rootkit activity" & Rechner langsam
    Plagegeister aller Art und deren Bekämpfung - 14.02.2013 (19)
  7. Virus - "untergetaucht"? Dann GMER/Rootkit Fund und Systemstreik
    Plagegeister aller Art und deren Bekämpfung - 26.03.2012 (3)
  8. Rechner hängt sich bei GMER seit "Entfernung" von Windows Recovery auf
    Plagegeister aller Art und deren Bekämpfung - 03.05.2011 (23)
  9. malware bytes meldet immer wieder "stolen data"
    Log-Analyse und Auswertung - 29.04.2011 (2)
  10. Kaspersky meldet "phishing link" auf Banking-Rechner
    Plagegeister aller Art und deren Bekämpfung - 15.03.2011 (0)
  11. Antivir meldet: aktive Malware gefunden "Wireless Selector.exe"
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (6)
  12. Ist mein Rechner "rootkit" - frei ?
    Log-Analyse und Auswertung - 16.07.2010 (25)
  13. Rootkit,Malware,Trojaner k.a. "Windows Security alert"?
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (4)
  14. Nach Entfernung von :"Malware Defense" -> Probleme mit gmer
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (9)
  15. TROJANER meldet ständig über Pop-Up "rootkit win32 Agent pp"
    Log-Analyse und Auswertung - 08.12.2009 (1)
  16. Kriege "TR/Rootkit.Gen" und "TR/PSW.PdPi.CT.1.D" nicht von Rechner runter!
    Plagegeister aller Art und deren Bekämpfung - 05.02.2009 (30)
  17. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)

Zum Thema Rechner langsam / Gmer meldet "Rootkit/Malware" - Hallo, letzte Woche wollte ich den Rechner eines Bekannten wieder flott machen, nachdem dieser wohl schon längere nicht mehr richtig in Benutzung war. Mir fiel auf, dass die Mühle unverhältmäßig - Rechner langsam / Gmer meldet "Rootkit/Malware"...
Archiv
Du betrachtest: Rechner langsam / Gmer meldet "Rootkit/Malware" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.