![]() |
|
Plagegeister aller Art und deren Bekämpfung: Malware Defense und H8SRTWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() Malware Defense und H8SRT Hallo an alle, auch ich habe dieses Board entdeckt um Hilfe zu bekommen. Da ich der einäugige unter den Blinden im Freundeskreis bin habe ich einen Laptop bekommen, welcher total verseucht ist. Ich habe gestern den CCleaner laufen lassen und danach versucht AntiMalware zu installieren, was mir im abgesicherten Modus auch gelungen ist. Leider will das Programm nicht starten. Da ich einen Rootkit vermutete habe ich GMER laufen lassen. Das Protokoll hänge ich an. Soll ich jetzt noch mit Schritt drei weitermachen oder habt Ihr andere Vorschläge? Protokoll: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-01-06 23:37:33 Windows 5.1.2600 Service Pack 3 Running: 8wkl4t5t.exe; Driver: C:\DOKUME~1\Lars\LOKALE~1\Temp\pxtdypow.sys ---- System - GMER 1.0.15 ---- Code 86CE6B70 ZwEnumerateKey Code 86CE7C00 ZwFlushInstructionCache Code 86CE15FE IofCallDriver Code 86D218F6 IofCompleteRequest ---- Kernel code sections - GMER 1.0.15 ---- .text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 86CE1603 .text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86D218FB PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 86CE7C04 PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 86CE6B74 init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6D4FEBF] ---- User code sections - GMER 1.0.15 ---- .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 13189BEC .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 13189A80 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetCloseHandle 77194D94 5 Bytes JMP 1318B354 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetOpenA 77195796 5 Bytes JMP 13189A2C .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestA 771960A9 5 Bytes JMP 1318A500 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFile 771982F2 5 Bytes JMP 1318B100 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetQueryDataAvailable 771A8A67 5 Bytes JMP 1318AEF4 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExA 771C934E 5 Bytes JMP 1318B2B4 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExW 771C9D9E 5 Bytes JMP 1318B304 .text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestW 771E3224 5 Bytes JMP 1318A914 ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions) ---- Modules - GMER 1.0.15 ---- Module \systemroot\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) AACCE000-AACEB000 (118784 bytes) ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [888] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [992] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1076] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1868] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1972] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2292] 0x10000000 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!! ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1 Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll ---- Files - GMER 1.0.15 ---- File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\H8SRTf5fc.tmp 343040 bytes executable File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\h8srtmainqt.dll 15813 bytes File C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys 40960 bytes executable <-- ROOTKIT !!! File C:\WINDOWS\system32\H8SRTcbaxjaimof.dll 36864 bytes executable File C:\WINDOWS\system32\H8SRTgvxvasrnty.dll 40960 bytes executable File C:\WINDOWS\system32\H8SRTvvkbejitao.dll 23040 bytes executable File C:\WINDOWS\system32\H8SRTyjrdtiindx.dat 202 bytes ---- EOF - GMER 1.0.15 ---- Vielen Dank für Eure Hilfe. Gruß Silvio |
Themen zu Malware Defense und H8SRT |
.dll, 0 bytes, abgesicherten modus, antimalware, bli, ccleaner, controlset002, driver, einstellungen, explorer.exe, gmer, h8srt, ics, laptop, malware, microsoft, ntoskrnl.exe, programm, registry, rootkit, scan, services, svchost.exe, system, system32, temp, verseucht, vorschläge |