| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Rootkit RKIT/Kryptic.763904 wurde gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
19.01.2010, 11:43
| #1 |
 |  Rootkit RKIT/Kryptic.763904 wurde gefunden Hallo zusammen, ich habe hier einen Laptop der anscheinend zumindest temporär diesen Schädling an Bord hatte.Antivir hatte diesen gefunden und gelöscht. (Logs folgen) Danach ist er wohl "neu aufgesetzt" worden, wobei ich vermute da ist nur "drüber" installiert worden. Ich selber war da bisher auch noch nicht dran, der Kollege dem der Rechner gehört hatte allerdings ein paar Tage später Meldungen von Antivirüber 2 Trojaner. Auswirkungen aufs System kann ich direkt keine fesstellen, ausser eine 100% Prozessorlast, obwohl nicht grossartiges läuft und nachdem ich einen Suchlauf mit GMER gemacht hatte, konnte ich die Logdatei nicht speichern, dh er speichert sie (egal ob in .txt oder .rtf) und wenn man die Datei wieder öffen will ist der Text weg. Nun ich habe aber schon MAM und RSIT erfolgreich durchlaufen lassen und poste euch mal die Logs zuerst: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 13. Januar 2010 19:36
Es wird nach 1518393 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : D****R-7BC4627
Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:55:54
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 13:55:55
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 13:55:55
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 13:55:55
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 13:55:55
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 13:55:55
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 13:55:55
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 13:55:55
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 13:55:55
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 13:55:55
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 13:55:55
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 13:55:55
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 13:55:56
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 13:55:57
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 13:55:57
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 13:55:58
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 13:55:58
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 13:55:59
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:56:00
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 13:56:00
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 13:56:01
VBASE022.VDF : 7.10.2.158 192000 Bytes 11.01.2010 13:50:42
VBASE023.VDF : 7.10.2.159 2048 Bytes 11.01.2010 13:50:42
VBASE024.VDF : 7.10.2.160 2048 Bytes 11.01.2010 13:50:42
VBASE025.VDF : 7.10.2.161 2048 Bytes 11.01.2010 13:50:42
VBASE026.VDF : 7.10.2.162 2048 Bytes 11.01.2010 13:50:42
VBASE027.VDF : 7.10.2.163 2048 Bytes 11.01.2010 13:50:42
VBASE028.VDF : 7.10.2.164 2048 Bytes 11.01.2010 13:50:42
VBASE029.VDF : 7.10.2.165 2048 Bytes 11.01.2010 13:50:42
VBASE030.VDF : 7.10.2.166 2048 Bytes 11.01.2010 13:50:42
VBASE031.VDF : 7.10.2.167 45056 Bytes 11.01.2010 13:50:42
Engineversion : 8.2.1.134
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 09.01.2010 13:56:15
AESCN.DLL : 8.1.3.0 127348 Bytes 09.01.2010 13:56:14
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 09.01.2010 13:56:14
AEPACK.DLL : 8.2.0.4 422263 Bytes 09.01.2010 13:56:13
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.194 2228599 Bytes 09.01.2010 13:56:10
AEHELP.DLL : 8.1.9.0 237943 Bytes 09.01.2010 13:56:08
AEGEN.DLL : 8.1.1.83 369014 Bytes 09.01.2010 13:56:07
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.1 180598 Bytes 09.01.2010 13:56:03
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Mittwoch, 13. Januar 2010 19:36
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26954' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyDriver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIEFE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonHK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '46' Prozesse mit '46' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\siszyd32.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002713.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002963.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002970.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002981.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0002996.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003005.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003012.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003021.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003030.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003037.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003051.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003067.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003068.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{F87E7636-0792-4049-9783-A07080D31C78}\RP42\A0003069.sys
[FUND] Enthält Erkennungsmuster des Rootkits RKIT/Kryptic.763904
[HINWEIS] Die Datei wurde gelöscht.
Beginne mit der Suche in 'D:\' <Bilder>
Beginne mit der Suche in 'E:\' <Daten>
Ende des Suchlaufs: Mittwoch, 13. Januar 2010 19:50
Benötigte Zeit: 14:28 Minute(n)
Der Suchlauf wurde vollständig durchgeführt.
3770 Verzeichnisse wurden überprüft
158264 Dateien wurden geprüft
14 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
14 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
158248 Dateien ohne Befall
1601 Archive wurden durchsucht
2 Warnungen
15 Hinweise
26954 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 17. Januar 2010 17:15
Es wird nach 1550020 Virenstämmen gesucht.
Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : D****R-7BC4627
Versionsinformationen:
BUILD.DAT : 9.0.0.418 21723 Bytes 02.12.2009 16:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13.10.2009 10:26:28
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 06:35:52
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 13:55:54
VBASE002.VDF : 7.10.1.1 2048 Bytes 19.11.2009 13:55:55
VBASE003.VDF : 7.10.1.2 2048 Bytes 19.11.2009 13:55:55
VBASE004.VDF : 7.10.1.3 2048 Bytes 19.11.2009 13:55:55
VBASE005.VDF : 7.10.1.4 2048 Bytes 19.11.2009 13:55:55
VBASE006.VDF : 7.10.1.5 2048 Bytes 19.11.2009 13:55:55
VBASE007.VDF : 7.10.1.6 2048 Bytes 19.11.2009 13:55:55
VBASE008.VDF : 7.10.1.7 2048 Bytes 19.11.2009 13:55:55
VBASE009.VDF : 7.10.1.8 2048 Bytes 19.11.2009 13:55:55
VBASE010.VDF : 7.10.1.9 2048 Bytes 19.11.2009 13:55:55
VBASE011.VDF : 7.10.1.10 2048 Bytes 19.11.2009 13:55:55
VBASE012.VDF : 7.10.1.11 2048 Bytes 19.11.2009 13:55:55
VBASE013.VDF : 7.10.1.79 209920 Bytes 25.11.2009 13:55:56
VBASE014.VDF : 7.10.1.128 197632 Bytes 30.11.2009 13:55:57
VBASE015.VDF : 7.10.1.178 195584 Bytes 07.12.2009 13:55:57
VBASE016.VDF : 7.10.1.224 183296 Bytes 14.12.2009 13:55:58
VBASE017.VDF : 7.10.1.247 182272 Bytes 15.12.2009 13:55:58
VBASE018.VDF : 7.10.2.30 198144 Bytes 21.12.2009 13:55:59
VBASE019.VDF : 7.10.2.63 187392 Bytes 24.12.2009 13:56:00
VBASE020.VDF : 7.10.2.93 195072 Bytes 29.12.2009 13:56:00
VBASE021.VDF : 7.10.2.131 201216 Bytes 07.01.2010 13:56:01
VBASE022.VDF : 7.10.2.158 192000 Bytes 11.01.2010 13:50:42
VBASE023.VDF : 7.10.2.186 200704 Bytes 14.01.2010 16:07:36
VBASE024.VDF : 7.10.2.205 201728 Bytes 15.01.2010 16:07:36
VBASE025.VDF : 7.10.2.206 2048 Bytes 15.01.2010 16:07:36
VBASE026.VDF : 7.10.2.207 2048 Bytes 15.01.2010 16:07:36
VBASE027.VDF : 7.10.2.208 2048 Bytes 15.01.2010 16:07:36
VBASE028.VDF : 7.10.2.209 2048 Bytes 15.01.2010 16:07:36
VBASE029.VDF : 7.10.2.210 2048 Bytes 15.01.2010 16:07:36
VBASE030.VDF : 7.10.2.211 2048 Bytes 15.01.2010 16:07:36
VBASE031.VDF : 7.10.2.212 101888 Bytes 17.01.2010 16:07:36
Engineversion : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 08.11.2009 06:38:52
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 09.01.2010 13:56:15
AESCN.DLL : 8.1.3.1 127348 Bytes 14.01.2010 13:05:43
AESBX.DLL : 8.1.1.1 246132 Bytes 08.11.2009 06:38:44
AERDL.DLL : 8.1.3.4 479605 Bytes 09.01.2010 13:56:14
AEPACK.DLL : 8.2.0.5 422262 Bytes 14.01.2010 13:05:43
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 08.11.2009 06:38:38
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 14.01.2010 13:05:42
AEHELP.DLL : 8.1.10.0 237942 Bytes 14.01.2010 13:05:38
AEGEN.DLL : 8.1.1.83 369014 Bytes 09.01.2010 13:56:07
AEEMU.DLL : 8.1.1.0 393587 Bytes 08.11.2009 06:38:26
AECORE.DLL : 8.1.9.5 184693 Bytes 14.01.2010 13:05:38
AEBB.DLL : 8.1.0.3 53618 Bytes 08.11.2009 06:38:20
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 26.08.2009 14:13:59
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 13.10.2009 11:19:29
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Beginn des Suchlaufs: Sonntag, 17. Januar 2010 17:15
Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '26745' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IoctlSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.bin' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soffice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotKeyDriver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BisonHK.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVD9Serv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sm56hlpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '42' Prozesse mit '42' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '56' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\J83ZW7IX\load[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bredolab.AA.5
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Besitzer\Startmenü\Programme\Autostart\siszyd32.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bredolab.AA.5
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
Ende des Suchlaufs: Sonntag, 17. Januar 2010 17:21
Benötigte Zeit: 06:06 Minute(n)
Der Suchlauf wurde abgebrochen!
1970 Verzeichnisse wurden überprüft
64405 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
64401 Dateien ohne Befall
770 Archive wurden durchsucht
2 Warnungen
3 Hinweise
26745 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
So, meine Frage nun: Seht ihr Profis da noch irgendwas das da nicht hingehört? Achso, fast vergessen- neuere Suchläufe von Antivir bleiben ohne Befund. Ich sage dann schonmal danke fürs lesen und hoffe auf Nachricht ;-) LG Ratze PS: Logs folgen ;-) |
| Themen zu Rootkit RKIT/Kryptic.763904 wurde gefunden |
| .dll, 0 bytes, avgnt.exe, besitzer, content.ie5, einstellungen, explorer.exe, frage, google, internet, jusched.exe, logon.exe, lsass.exe, modul, neu, neu aufgesetzt, nt.dll, programme, prozesse, registry, rkit.kryptic, rootkit, rthdcpl.exe, schädling, services.exe, suchlauf, svchost.exe, system, system volume information, temporär, tr/crypt.xpack.ge, versteckte objekte, verweise, virus gefunden, warnung, windows, winlogon.exe, wuauclt.exe |
Ratze 
Baum-Darstellung