| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: rootkit xnhruw ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.02.2010, 13:36
| #1 |
 |  rootkit xnhruw Problem Hallo, habe irgend so ein rootkit "xnhruw" erst hats avira gefunden aber konnte es auch beim neustart nicht enfernen. Dann mit Malwarebytes aber auch damit konnte ich es nicht entfernen. Jetzt hab ich GMER drüberlaufen lassen (allerdings nicht bis zum schluss, weil ich jetzt weg muss) und auch hier wurde rootkit "xnhruw" gefunden. kenn mich aber mit GMER nicht aus. Wie entferne ich das drecks ding jetzt? Mein Rechner: Windows XP Avira Antivir Personal Free Ist mein Zweitrechner der total vollgemüllt ist und seit Jahren nicht formatiert =) GMER: Code:
ATTFilter GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-02-07 13:22:35
Windows 5.1.2600
Running: 3s2h04vi.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys
---- System - GMER 1.0.15 ----
SSDT F8C56AFE ZwCreateKey
SSDT F8C56AF4 ZwCreateThread
SSDT F8C56B03 ZwDeleteKey
SSDT F8C56B0D ZwDeleteValueKey
SSDT F8C56B12 ZwLoadKey
SSDT F8C56AE0 ZwOpenProcess
SSDT F8C56AE5 ZwOpenThread
SSDT F8C56B1C ZwReplaceKey
SSDT F8C56B17 ZwRestoreKey
SSDT F8C56B08 ZwSetValueKey
SSDT \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com) ZwTerminateProcess [0xF631A0B0]
---- Kernel code sections - GMER 1.0.15 ----
.text TUKERNEL.EXE!KeInitializeInterrupt + B79 804D4F8E 1 Byte [06]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0 804FC6C8 4 Bytes [FE, 6A, C5, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0 804FC6F8 4 Bytes [F4, 6A, C5, F8] {HLT ; PUSH -0x3b; CLC }
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208 804FC720 4 Bytes [03, 6B, C5, F8] {ADD EBP, [EBX-0x3b]; CLC }
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210 804FC728 4 Bytes [0D, 6B, C5, F8]
.text TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294 804FC7AC 4 Bytes [12, 6B, C5, F8] {ADC CH, [EBX-0x3b]; CLC }
.text ...
? ecyti.sys Das System kann die angegebene Datei nicht finden. !
INIT xnhruw.sys F83C0000 40 Bytes [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT xnhruw.sys F83C003C 2 Bytes [1A, 77]
INIT xnhruw.sys F83C0040 6 Bytes [2D, 9C, C8, BF, 90, 71]
INIT xnhruw.sys F83C0048 2 Bytes [9E, 71]
INIT xnhruw.sys F83C004C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\system32\drivers\xnhruw.sys entry point in ".pak2" section [0xF848F3B6]
? C:\WINDOWS\system32\drivers\xnhruw.sys Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE Ntfs.sys F82F624E 4 Bytes CALL 81FAD799
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 81F72E00
AttachedDevice \FileSystem\Ntfs \Ntfs avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice \FileSystem\Fastfat \Fat avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] xnhruw <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group Boot Bus Extender
|
| Themen zu rootkit xnhruw Problem |
| 0 bytes, antivir, avg, avira, boot, c:\windows, code, controlset002, datei, driver, filter, funktioniert, gmer, malwarebytes, neustart, problem, programme, rechner, registry, rootkit, scan, services, superantispyware, system, system32, temp, total |
Baum-Darstellung