Malware Defense und H8SRT

SIWA · 07.01.2010, 07:51

Hallo an alle,

auch ich habe dieses Board entdeckt um Hilfe zu bekommen.
Da ich der einäugige unter den Blinden im Freundeskreis bin habe ich einen Laptop bekommen, welcher total verseucht ist.
Ich habe gestern den CCleaner laufen lassen und danach versucht AntiMalware zu installieren, was mir im abgesicherten Modus auch gelungen ist. Leider will das Programm nicht starten.
Da ich einen Rootkit vermutete habe ich GMER laufen lassen. Das Protokoll hänge ich an.
Soll ich jetzt noch mit Schritt drei weitermachen oder habt Ihr andere Vorschläge?

Protokoll:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-06 23:37:33
Windows 5.1.2600 Service Pack 3
Running: 8wkl4t5t.exe; Driver: C:\DOKUME~1\Lars\LOKALE~1\Temp\pxtdypow.sys

---- System - GMER 1.0.15 ----

Code 86CE6B70 ZwEnumerateKey
Code 86CE7C00 ZwFlushInstructionCache
Code 86CE15FE IofCallDriver
Code 86D218F6 IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 86CE1603
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 86D218FB
PAGE ntoskrnl.exe!ZwFlushInstructionCache 8056E42A 5 Bytes JMP 86CE7C04
PAGE ntoskrnl.exe!ZwEnumerateKey 805735A4 5 Bytes JMP 86CE6B74
init C:\WINDOWS\system32\drivers\tifm21.sys entry point in "init" section [0xF6D4FEBF]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpOpenRequestA 77192B01 5 Bytes JMP 13189BEC
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetConnectA 7719345A 5 Bytes JMP 13189A80
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetCloseHandle 77194D94 5 Bytes JMP 1318B354
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetOpenA 77195796 5 Bytes JMP 13189A2C
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestA 771960A9 5 Bytes JMP 1318A500
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFile 771982F2 5 Bytes JMP 1318B100
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetQueryDataAvailable 771A8A67 5 Bytes JMP 1318AEF4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExA 771C934E 5 Bytes JMP 1318B2B4
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!InternetReadFileExW 771C9D9E 5 Bytes JMP 1318B304
.text C:\WINDOWS\Explorer.EXE[1868] WININET.dll!HttpSendRequestW 771E3224 5 Bytes JMP 1318A914

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs DLAIFS_M.SYS (Drive Letter Access Component/Sonic Solutions)

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) AACCE000-AACEB000 (118784 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [888] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [932] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [992] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1076] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1440] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1868] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1972] 0x10000000
Library \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [2292] 0x10000000

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTrntyuuhddc.sys
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTvvkbejitao.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTyjrdtiindx.dat
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTcbaxjaimof.dll
Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtbbr \\?\globalroot\systemroot\system32\H8SRTgvxvasrnty.dll

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\H8SRTf5fc.tmp 343040 bytes executable
File C:\Dokumente und Einstellungen\Lars\Lokale Einstellungen\Temp\h8srtmainqt.dll 15813 bytes
File C:\WINDOWS\system32\drivers\H8SRTrntyuuhddc.sys 40960 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\H8SRTcbaxjaimof.dll 36864 bytes executable
File C:\WINDOWS\system32\H8SRTgvxvasrnty.dll 40960 bytes executable
File C:\WINDOWS\system32\H8SRTvvkbejitao.dll 23040 bytes executable
File C:\WINDOWS\system32\H8SRTyjrdtiindx.dat 202 bytes

---- EOF - GMER 1.0.15 ----

Vielen Dank für Eure Hilfe.

Gruß Silvio

Malware Defense und H8SRT

Plagegeister aller Art und deren Bekämpfung: Malware Defense und H8SRT

Malware Defense und H8SRT

Ähnliche Themen: Malware Defense und H8SRT