| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: rootkit xnhruw ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.02.2010, 13:36
| #1 |
 |  rootkit xnhruw Problem Hallo, habe irgend so ein rootkit "xnhruw" erst hats avira gefunden aber konnte es auch beim neustart nicht enfernen. Dann mit Malwarebytes aber auch damit konnte ich es nicht entfernen. Jetzt hab ich GMER drüberlaufen lassen (allerdings nicht bis zum schluss, weil ich jetzt weg muss) und auch hier wurde rootkit "xnhruw" gefunden. kenn mich aber mit GMER nicht aus. Wie entferne ich das drecks ding jetzt? Mein Rechner: Windows XP Avira Antivir Personal Free Ist mein Zweitrechner der total vollgemüllt ist und seit Jahren nicht formatiert =) GMER: Code:
ATTFilter GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-02-07 13:22:35
Windows 5.1.2600
Running: 3s2h04vi.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys
---- System - GMER 1.0.15 ----
SSDT F8C56AFE ZwCreateKey
SSDT F8C56AF4 ZwCreateThread
SSDT F8C56B03 ZwDeleteKey
SSDT F8C56B0D ZwDeleteValueKey
SSDT F8C56B12 ZwLoadKey
SSDT F8C56AE0 ZwOpenProcess
SSDT F8C56AE5 ZwOpenThread
SSDT F8C56B1C ZwReplaceKey
SSDT F8C56B17 ZwRestoreKey
SSDT F8C56B08 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF631A0B0]
---- Kernel code sections - GMER 1.0.15 ----
.text TUKERNEL.EXE!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [FE, 6A, C5, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0 804FC6F8 4 Bytes [F4, 6A, C5, F8] {HLT ; PUSH -0x3b; CLC }
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208 804FC720 4 Bytes [03, 6B, C5, F8] {ADD EBP, [EBX-0x3b]; CLC }
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210 804FC728 4 Bytes [0D, 6B, C5, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294 804FC7AC 4 Bytes [12, 6B, C5, F8] {ADC CH, [EBX-0x3b]; CLC }
.text ...
? ecyti.sys Das System kann die angegebene Datei nicht finden. !
INIT xnhruw.sys F83C0000 40 Bytes [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT xnhruw.sys F83C003C 2 Bytes [1A, 77]
INIT xnhruw.sys F83C0040 6 Bytes [2D, 9C, C8, BF, 90, 71]
INIT xnhruw.sys F83C0048 2 Bytes [9E, 71]
INIT xnhruw.sys F83C004C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\system32\drivers\xnhruw.sys entry point in ".pak2" section [0xF848F3B6]
? C:\WINDOWS\system32\drivers\xnhruw.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F82F624E 4 Bytes CALL 81FAD799
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 81F72E00
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] xnhruw <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group Boot Bus Extender
|
|
07.02.2010, 19:59
| #2 |
  | rootkit xnhruw Problem Hi,
__________________wir probieren einen Schnellschuß... Anleitung Avenger (by swandog46) 1.) Ladet das Tool Avenger und speichere es auf dem Desktop: (Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)  2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code:
ATTFilter Drivers to delete:
xnhruw.sys
4.) Um Avenger zu starten klicke auf -> Execute Dann bestätigt mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board. Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten: Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe) auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie auf den ursprünglichen Namen (mbam.exe) zurück. chris
__________________ |
|
07.02.2010, 22:07
| #3 |
| | rootkit xnhruw Problem Hi,
__________________danke für die schnelle Antwort. Soweit alles klar bis auf deinen letzen Abschnitt...was ist MAM oder mbam.exe? lg bastyyy |
|
08.02.2010, 07:31
| #4 |
| | rootkit xnhruw Problem Hi, hast Du schonauf dem Rechner, MAM=Malwarebytes... Poste das Avengerlog und MAM-Log... chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
08.02.2010, 22:12
| #5 |
| | rootkit xnhruw Problem OK. werde es erst in ein oder zwei wochen testen können, da der rechner nicht in meiner aktuellen wohnung steht und ich dann erst wieder vor ort bin. ich berichte dann ob es geklappt hat oder nicht. danke schonmal |
|
15.05.2010, 13:06
| #6 |
| | rootkit xnhruw Problem So hat ne weile gedauert aber habs jetzt mal gemacht ... Code:
ATTFilter //////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600)
Sat May 15 13:59:18 2010
13:59:18: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows XP (build 2600)
Sat May 15 13:59:29 2010
13:59:29: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!
//////////////////////////////////////////
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\xnhruw.sys" not found!
Deletion of driver "xnhruw.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Jetzt lass ich noch MAM drüberlaufen |
|
15.05.2010, 14:40
| #7 |
| | rootkit xnhruw Problem Hallo, mbam log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600
Internet Explorer 6.0.2600.0000
15.05.2010 15:38:23
mbam-log-2010-05-15 (15-38-23).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 216677
Laufzeit: 1 hour(s), 27 minute(s), 39 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\System Volume Information\_restore{11752E62-A0E0-46FF-BB18-18EFAE375546}\RP193\A0020435.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\xnhruw.sys (Rootkit.Agent) -> Delete on reboot.
|
|
15.05.2010, 16:42
| #8 |
| | rootkit xnhruw Problem So und als letztes noch Gmer. Was kann ich nun machen um den dreck zu beseitigen?? Bitte helft mir  Code:
ATTFilter GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-15 17:41:12
Windows 5.1.2600
Running: q442tzn9.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys
---- System - GMER 1.0.15 ----
SSDT F8B8A9DE ZwCreateKey
SSDT F8B8A9D4 ZwCreateThread
SSDT F8B8A9E3 ZwDeleteKey
SSDT F8B8A9ED ZwDeleteValueKey
SSDT F8B8A9F2 ZwLoadKey
SSDT F8B8A9C0 ZwOpenProcess
SSDT F8B8A9C5 ZwOpenThread
SSDT F8B8A9FC ZwReplaceKey
SSDT F8B8A9F7 ZwRestoreKey
SSDT F8B8A9E8 ZwSetValueKey
SSDT F8B8A9CF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text TUKERNEL.EXE!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [DE, A9, B8, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0 804FC6F8 4 Bytes [D4, A9, B8, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208 804FC720 4 Bytes [E3, A9, B8, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210 804FC728 4 Bytes [ED, A9, B8, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294 804FC7AC 4 Bytes [F2, A9, B8, F8]
.text ...
INIT xnhruw.sys F83C3000 40 Bytes [F6, F5, 1C, 2C, 4B, AF, 56, ...]
INIT xnhruw.sys F83C303C 2 Bytes [1A, 77]
INIT xnhruw.sys F83C3040 6 Bytes [2E, CE, 65, 1B, 90, 71]
INIT xnhruw.sys F83C3048 2 Bytes [9E, 71]
INIT xnhruw.sys F83C304C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\system32\drivers\xnhruw.sys entry point in ".pak2" section [0xF848413D]
? C:\WINDOWS\system32\drivers\xnhruw.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F82F924E 4 Bytes CALL 81FAE889
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 81FEB068
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] xnhruw <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----
|
|
| Themen zu rootkit xnhruw Problem |
| 0 bytes, antivir, avg, avira, boot, c:\windows, code, controlset002, datei, driver, filter, funktioniert, gmer, malwarebytes, neustart, problem, programme, rechner, registry, rootkit, scan, services, superantispyware, system, system32, temp, total |
Linear-Darstellung
