Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Rootkit RKIT/Kryptic.763904 wurde gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Alt 19.01.2010, 11:43   #1
Ratze
 
Rootkit RKIT/Kryptic.763904 wurde gefunden - Standard

Rootkit RKIT/Kryptic.763904 wurde gefunden



Hallo zusammen,
ich habe hier einen Laptop der anscheinend zumindest temporär diesen Schädling an Bord hatte.Antivir hatte diesen gefunden und gelöscht. (Logs folgen) Danach ist er wohl "neu aufgesetzt" worden, wobei ich vermute da ist nur "drüber" installiert worden. Ich selber war da bisher auch noch nicht dran, der Kollege dem der Rechner gehört hatte allerdings ein paar Tage später Meldungen von Antivirüber 2 Trojaner.
Auswirkungen aufs System kann ich direkt keine fesstellen, ausser eine 100% Prozessorlast, obwohl nicht grossartiges läuft und nachdem ich einen Suchlauf mit GMER gemacht hatte, konnte ich die Logdatei nicht speichern, dh er speichert sie (egal ob in .txt oder .rtf) und wenn man die Datei wieder öffen will ist der Text weg.
Nun ich habe aber schon MAM und RSIT erfolgreich durchlaufen lassen und poste euch mal die Logs zuerst:

Code:
ATTFilter
 

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 13. Januar 2010  19:36

Es wird nach 1518393 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : D****R-7BC4627

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 13:55:54
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 13:55:55
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 13:55:55
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 13:55:55
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 13:55:55
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 13:55:55
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 13:55:55
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 13:55:55
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 13:55:55
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 13:55:55
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 13:55:55
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 13:55:55
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 13:55:56
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 13:55:57
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 13:55:57
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 13:55:58
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 13:55:58
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 13:55:59
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 13:56:00
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 13:56:00
VBASE021.VDF   : 7.10.2.131    201216 Bytes  07.01.2010 13:56:01
VBASE022.VDF   : 7.10.2.158    192000 Bytes  11.01.2010 13:50:42
VBASE023.VDF   : 7.10.2.159      2048 Bytes  11.01.2010 13:50:42
VBASE024.VDF   : 7.10.2.160      2048 Bytes  11.01.2010 13:50:42
VBASE025.VDF   : 7.10.2.161      2048 Bytes  11.01.2010 13:50:42
VBASE026.VDF   : 7.10.2.162      2048 Bytes  11.01.2010 13:50:42
VBASE027.VDF   : 7.10.2.163      2048 Bytes  11.01.2010 13:50:42
VBASE028.VDF   : 7.10.2.164      2048 Bytes  11.01.2010 13:50:42
VBASE029.VDF   : 7.10.2.165      2048 Bytes  11.01.2010 13:50:42
VBASE030.VDF   : 7.10.2.166      2048 Bytes  11.01.2010 13:50:42
VBASE031.VDF   : 7.10.2.167     45056 Bytes  11.01.2010 13:50:42
Engineversion  : 8.2.1.134
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  09.01.2010 13:56:15
AESCN.DLL      : 8.1.3.0      127348 Bytes  09.01.2010 13:56:14
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  09.01.2010 13:56:14
AEPACK.DLL     : 8.2.0.4      422263 Bytes  09.01.2010 13:56:13
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.194   2228599 Bytes  09.01.2010 13:56:10
AEHELP.DLL     : 8.1.9.0      237943 Bytes  09.01.2010 13:56:08
AEGEN.DLL      : 8.1.1.83     369014 Bytes  09.01.2010 13:56:07
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.1      180598 Bytes  09.01.2010 13:56:03
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 13. Januar 2010  19:36

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26954' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyDriver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEFE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonHK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\siszyd32.exe
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002713.exe
    [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002963.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002970.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002981.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002996.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003005.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003012.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003021.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003030.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003037.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003051.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003067.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003068.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003069.sys
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
    [HINWEIS]   Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Bilder>
Beginne mit der Suche in 'E:\' <Daten>


Ende des Suchlaufs: Mittwoch, 13. Januar 2010  19:50
Benötigte Zeit: 14:28 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   3770 Verzeichnisse wurden überprüft
 158264 Dateien wurden geprüft
     14 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     14 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 158248 Dateien ohne Befall
   1601 Archive wurden durchsucht
      2 Warnungen
     15 Hinweise
  26954 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         


Code:
ATTFilter
  

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. Januar 2010  17:15

Es wird nach 1550020 Virenstämmen gesucht.

Lizenznehmer   : Avira AntiVir Personal - FREE Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : D****R-7BC4627

Versionsinformationen:
BUILD.DAT      : 9.0.0.418     21723 Bytes  02.12.2009 16:23:00
AVSCAN.EXE     : 9.0.3.10     466689 Bytes  13.10.2009 10:26:28
AVSCAN.DLL     : 9.0.3.0       49409 Bytes  13.02.2009 11:04:10
LUKE.DLL       : 9.0.3.2      209665 Bytes  20.02.2009 10:35:44
LUKERES.DLL    : 9.0.2.0       13569 Bytes  26.01.2009 09:41:59
VBASE000.VDF   : 7.10.0.0   19875328 Bytes  06.11.2009 06:35:52
VBASE001.VDF   : 7.10.1.0    1372672 Bytes  19.11.2009 13:55:54
VBASE002.VDF   : 7.10.1.1       2048 Bytes  19.11.2009 13:55:55
VBASE003.VDF   : 7.10.1.2       2048 Bytes  19.11.2009 13:55:55
VBASE004.VDF   : 7.10.1.3       2048 Bytes  19.11.2009 13:55:55
VBASE005.VDF   : 7.10.1.4       2048 Bytes  19.11.2009 13:55:55
VBASE006.VDF   : 7.10.1.5       2048 Bytes  19.11.2009 13:55:55
VBASE007.VDF   : 7.10.1.6       2048 Bytes  19.11.2009 13:55:55
VBASE008.VDF   : 7.10.1.7       2048 Bytes  19.11.2009 13:55:55
VBASE009.VDF   : 7.10.1.8       2048 Bytes  19.11.2009 13:55:55
VBASE010.VDF   : 7.10.1.9       2048 Bytes  19.11.2009 13:55:55
VBASE011.VDF   : 7.10.1.10      2048 Bytes  19.11.2009 13:55:55
VBASE012.VDF   : 7.10.1.11      2048 Bytes  19.11.2009 13:55:55
VBASE013.VDF   : 7.10.1.79    209920 Bytes  25.11.2009 13:55:56
VBASE014.VDF   : 7.10.1.128    197632 Bytes  30.11.2009 13:55:57
VBASE015.VDF   : 7.10.1.178    195584 Bytes  07.12.2009 13:55:57
VBASE016.VDF   : 7.10.1.224    183296 Bytes  14.12.2009 13:55:58
VBASE017.VDF   : 7.10.1.247    182272 Bytes  15.12.2009 13:55:58
VBASE018.VDF   : 7.10.2.30    198144 Bytes  21.12.2009 13:55:59
VBASE019.VDF   : 7.10.2.63    187392 Bytes  24.12.2009 13:56:00
VBASE020.VDF   : 7.10.2.93    195072 Bytes  29.12.2009 13:56:00
VBASE021.VDF   : 7.10.2.131    201216 Bytes  07.01.2010 13:56:01
VBASE022.VDF   : 7.10.2.158    192000 Bytes  11.01.2010 13:50:42
VBASE023.VDF   : 7.10.2.186    200704 Bytes  14.01.2010 16:07:36
VBASE024.VDF   : 7.10.2.205    201728 Bytes  15.01.2010 16:07:36
VBASE025.VDF   : 7.10.2.206      2048 Bytes  15.01.2010 16:07:36
VBASE026.VDF   : 7.10.2.207      2048 Bytes  15.01.2010 16:07:36
VBASE027.VDF   : 7.10.2.208      2048 Bytes  15.01.2010 16:07:36
VBASE028.VDF   : 7.10.2.209      2048 Bytes  15.01.2010 16:07:36
VBASE029.VDF   : 7.10.2.210      2048 Bytes  15.01.2010 16:07:36
VBASE030.VDF   : 7.10.2.211      2048 Bytes  15.01.2010 16:07:36
VBASE031.VDF   : 7.10.2.212    101888 Bytes  17.01.2010 16:07:36
Engineversion  : 8.2.1.142
AEVDF.DLL      : 8.1.1.2      106867 Bytes  08.11.2009 06:38:52
AESCRIPT.DLL   : 8.1.3.7      594296 Bytes  09.01.2010 13:56:15
AESCN.DLL      : 8.1.3.1      127348 Bytes  14.01.2010 13:05:43
AESBX.DLL      : 8.1.1.1      246132 Bytes  08.11.2009 06:38:44
AERDL.DLL      : 8.1.3.4      479605 Bytes  09.01.2010 13:56:14
AEPACK.DLL     : 8.2.0.5      422262 Bytes  14.01.2010 13:05:43
AEOFFICE.DLL   : 8.1.0.38     196987 Bytes  08.11.2009 06:38:38
AEHEUR.DLL     : 8.1.0.195   2232695 Bytes  14.01.2010 13:05:42
AEHELP.DLL     : 8.1.10.0     237942 Bytes  14.01.2010 13:05:38
AEGEN.DLL      : 8.1.1.83     369014 Bytes  09.01.2010 13:56:07
AEEMU.DLL      : 8.1.1.0      393587 Bytes  08.11.2009 06:38:26
AECORE.DLL     : 8.1.9.5      184693 Bytes  14.01.2010 13:05:38
AEBB.DLL       : 8.1.0.3       53618 Bytes  08.11.2009 06:38:20
AVWINLL.DLL    : 9.0.0.3       18177 Bytes  12.12.2008 07:47:56
AVPREF.DLL     : 9.0.3.0       44289 Bytes  26.08.2009 14:13:59
AVREP.DLL      : 8.0.0.3      155905 Bytes  20.01.2009 13:34:28
AVREG.DLL      : 9.0.0.0       36609 Bytes  07.11.2008 14:25:04
AVARKT.DLL     : 9.0.0.3      292609 Bytes  24.03.2009 14:05:37
AVEVTLOG.DLL   : 9.0.0.7      167169 Bytes  30.01.2009 09:37:04
SQLITE3.DLL    : 3.6.1.0      326401 Bytes  28.01.2009 14:03:49
SMTPLIB.DLL    : 9.2.0.25      28417 Bytes  02.02.2009 07:21:28
NETNT.DLL      : 9.0.0.0       11521 Bytes  07.11.2008 14:41:21
RCIMAGE.DLL    : 9.0.0.25    2438913 Bytes  15.05.2009 14:35:17
RCTEXT.DLL     : 9.0.73.0      87297 Bytes  13.10.2009 11:19:29

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 17. Januar 2010  17:15

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26745' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyDriver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonHK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [HINWEIS]   Bei dieser Datei handelt es sich um eine Windows Systemdatei.
    [HINWEIS]   Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J83ZW7IX\load[1].exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bredolab.AA.5
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\siszyd32.exe
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Bredolab.AA.5
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Sonntag, 17. Januar 2010  17:21
Benötigte Zeit: 06:06 Minute(n)

Der Suchlauf wurde abgebrochen!

   1970 Verzeichnisse wurden überprüft
  64405 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
  64401 Dateien ohne Befall
    770 Archive wurden durchsucht
      2 Warnungen
      3 Hinweise
  26745 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden
         







So, meine Frage nun: Seht ihr Profis da noch irgendwas das da nicht hingehört? Achso, fast vergessen- neuere Suchläufe von Antivir bleiben ohne Befund.

Ich sage dann schonmal danke fürs lesen und hoffe auf Nachricht ;-)

LG Ratze


PS: Logs folgen ;-)

 

Themen zu Rootkit RKIT/Kryptic.763904 wurde gefunden
.dll, 0 bytes, avgnt.exe, besitzer, content.ie5, einstellungen, explorer.exe, frage, google, internet, jusched.exe, logon.exe, lsass.exe, modul, neu, neu aufgesetzt, nt.dll, programme, prozesse, registry, rkit.kryptic, rootkit, rthdcpl.exe, schädling, services.exe, suchlauf, svchost.exe, system, system volume information, temporär, tr/crypt.xpack.ge, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe




Ähnliche Themen: Rootkit RKIT/Kryptic.763904 wurde gefunden


  1. RKIT/Agent.deyz unter C:\users\XXX\appdata.. gefunden
    Log-Analyse und Auswertung - 04.10.2012 (11)
  2. RKIT/agent.depg.1 in BAcroIEHelpe171.dll gefunden - was tun?
    Plagegeister aller Art und deren Bekämpfung - 29.07.2012 (36)
  3. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  4. XP: Trojaner HDD Rescue und Win32/Kryptic.YSQ - Desktop und Partition verschwunden
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (35)
  5. Und nochjemand mit Rootkit RKIT/Agent.biiu :(
    Plagegeister aller Art und deren Bekämpfung - 20.09.2010 (33)
  6. Rootkit RKIT/Bubnix.S in C:\Windows\System32\drivers\...sys gefunden
    Log-Analyse und Auswertung - 20.05.2010 (3)
  7. TR/ Rootkit.L gefunden
    Log-Analyse und Auswertung - 04.02.2010 (1)
  8. RKIT/Kryptic.763904
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (9)
  9. RKIT/Kryptic.763904 in Windows Systemverzeichnis
    Plagegeister aller Art und deren Bekämpfung - 12.01.2010 (1)
  10. Rootkit RKIT/Kryptic entfernen
    Anleitungen, FAQs & Links - 10.01.2010 (2)
  11. RKIT/Agent.ahc in C:\...\A0142523.sys von Antivir gefunden
    Plagegeister aller Art und deren Bekämpfung - 15.08.2009 (7)
  12. Rootkit (RKIT/Agent.483856) in system32
    Plagegeister aller Art und deren Bekämpfung - 10.04.2009 (4)
  13. Rootkit RKIT/TDss.G.22 Backdoorprogramm BDS/TDSS.adb und Trojaner TR/Proxy.GHY
    Log-Analyse und Auswertung - 21.12.2008 (28)
  14. Rootkit gefunden.
    Mülltonne - 31.12.2007 (0)
  15. TR/RKit.Nuclear.0.B gefunden und gelöscht, ist er noch da?
    Log-Analyse und Auswertung - 10.08.2007 (4)
  16. Trojaner TR/RKit.Agent.DW.2 gefunden :/
    Log-Analyse und Auswertung - 24.03.2007 (1)
  17. Trojaner RKit.Agent.DW.1 gefunden - bitte um Hilfe
    Log-Analyse und Auswertung - 05.03.2007 (6)

Zum Thema Rootkit RKIT/Kryptic.763904 wurde gefunden - Hallo zusammen, ich habe hier einen Laptop der anscheinend zumindest temporär diesen Schädling an Bord hatte.Antivir hatte diesen gefunden und gelöscht. (Logs folgen) Danach ist er wohl "neu aufgesetzt" worden, - Rootkit RKIT/Kryptic.763904 wurde gefunden...

Alle Zeitangaben in WEZ +1. Es ist jetzt 03:03 Uhr.


Copyright ©2000-2025, Trojaner-Board
Archiv
Du betrachtest: Rootkit RKIT/Kryptic.763904 wurde gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.