Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit.Pakes-AA nicht vom GMER gefunden

Rootkit.Pakes-AA nicht vom GMER gefunden


Plagegeister aller Art und deren Bekämpfung: Rootkit.Pakes-AA nicht vom GMER gefunden

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.02.2010, 18:20   #1
~Julia~
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hallo,

ich habe seit ca. 3 Tagen ein Problem mit einem Rootkit. AVG gibt mir regelmäßig die Meldung, dass die Datei C:/windows/system32/drivers/ndis.sys mit dem Trojaner Rootkit-Pakes-AA infiziert ist. Ich kann die Datei aber nicht löschen oder heilen.

Ich habe AVG und Dr. Web durchlaufen lassen, die haben zerst einiges gefunden und repariert, aber die letzten zwei Male, hat AVG nichts mehr angezeigt (abgesehen von der Meldung).

Ich habe GMER runter geladen und zweimal durchlaufen lassen. Aber das findet wohl nichts. Zumindest ist unter Services nach dem Durchlauf nichts in rot geschrieben.

Auffälligkeiten zeigt der Computer nur eine: Ständig kommt der Ton, der normalerweise gemacht wird, wenn ich etwas mit Doppelklick anklicke, aber es wird nichts aktiviert.

Hier das Ergebnis des 2. Durchlaufs von GMER:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-14 18:13:16
Windows 5.1.2600 Service Pack 3
Running: 64myxyk4.exe; Driver: C:\DOKUME~1\JULIAB~1\LOKALE~1\Temp\kfaoiaog.sys


---- System - GMER 1.0.15 ----

Code 8256D580 pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

.reloc C:\WINDOWS\system32\drivers\NDIS.sys section is executable [0x8248A280, 0x32B2A, 0xE0000060]
init C:\WINDOWS\system32\drivers\tiumflt.sys entry point in "init" section [0xF8A85E00]
init C:\WINDOWS\system32\drivers\tiumfwl.sys entry point in "init" section [0xF89BFF00]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7F11340, 0x106FDF, 0xF8000020]
.text C:\WINDOWS\System32\nv4_disp.dll section is writeable [0xBF9D6300, 0x238E10, 0xF8000020]

---- User code sections - GMER 1.0.15 ----

? C:\WINDOWS\System32\svchost.exe[264] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dllunknown module: urlmon.dll
.text C:\WINDOWS\System32\svchost.exe[264] USER32.dll!SetForegroundWindow 7E3742ED 8 Bytes [B8, 01, 00, 00, 00, C2, 04, ...] {MOV EAX, 0x1; RET 0x4}
? C:\WINDOWS\System32\svchost.exe[272] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: gdiplus.dllunknown module: OLEAUT32.dllunknown module: urlmon.dll
.text C:\WINDOWS\System32\svchost.exe[272] USER32.dll!SetForegroundWindow 7E3742ED 8 Bytes [B8, 01, 00, 00, 00, C2, 04, ...] {MOV EAX, 0x1; RET 0x4}
? C:\WINDOWS\System32\svchost.exe[1472] image checksum mismatch; number of sections mismatch; time/date stamp mismatch;

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 0008C280
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 83EC8B55
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 75001C7D
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 0C7D831E
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 6A1E7501
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 03E86800
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 016A0000
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] FF0471FF
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 43A2B015
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 18458B00
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 33002083
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 18C25DC0
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 0C7D8100
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 7BE85106
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B000110
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 20831845
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 40C03300
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 006ADBEB
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 436B77B8
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 54DCE800
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8B00FC65
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] C0852446
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 088B0A74
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0851FF50
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00246683
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] FFFC4D83
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8514768B
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 560674F6
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 0207C0E8
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 5547E800
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 04C20002
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] F18B5600
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] FFB4E856
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 74010824
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] [7DE85607] C:\WINDOWS\system32\mshtml.dll (Microsoft (R) HTML Viewer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 5900020B
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 408B0004
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 74C08514
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 8EE85006
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] C3000207
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 0824448B
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 33002083
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 0018C280
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 0024C280
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 1024448B
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] B8002083
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 80004001
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 8B0010C2
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 83082444
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 02B80020
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] C2800040
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] C0330008
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 0008C240
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] C240C033
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 448B0014
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 40C70824
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 00020004
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] C2C03300
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] C0330008
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 330018C2
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 24448B00
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 0020830C
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 000CC280
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 51EC8B55
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] FC458D56
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 11EDE850
IAT C:\WINDOWS\System32\svchost.exe[264] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 758B0000
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 0008C280
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 83EC8B55
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 75001C7D
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 0C7D831E
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 6A1E7501
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 03E86800
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 016A0000
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] FF0471FF
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 43A2B015
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 18458B00
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 33002083
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 18C25DC0
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 0C7D8100
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 7BE85106
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B000110
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 20831845
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 40C03300
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 006ADBEB
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] 436B77B8
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 54DCE800
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 8B00FC65
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] C0852446
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 088B0A74
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0851FF50
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00246683
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] FFFC4D83
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8514768B
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 560674F6
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 0207C0E8
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 5547E800
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 04C20002
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] F18B5600
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] FFB4E856
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 44F6FFFF
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 74010824
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] [7DE85607] C:\WINDOWS\system32\mshtml.dll (Microsoft (R) HTML Viewer/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 5900020B
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] C25EC68B
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 408B0004
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] 74C08514
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 8EE85006
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] C3000207
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 0824448B
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 33002083
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 0018C280
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] [004005B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 0024C280
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 1024448B
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] B8002083
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 80004001
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 8B0010C2
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 83082444
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 02B80020
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] C2800040
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] C0330008
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 0008C240
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] C240C033
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 448B0014
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 40C70824
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 00020004
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] C2C03300
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] C0330008
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 330018C2
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 24448B00
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 0020830C
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] [004001B8] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 000CC280
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 51EC8B55
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] FC458D56
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 11EDE850
IAT C:\WINDOWS\System32\svchost.exe[272] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 758B0000
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 9B8401C7
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 46E90043
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 560001AA
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] [00439B84] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 01AA38E8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 2444F600
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 07740108
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] AC0FE856
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 8B55C300
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 10C48308
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 8B55C35D
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] 1475FFEC
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] FF1075FF
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 75FF0C75
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] B108E808
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 458B0001
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] F0A4E800
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] F18B0001
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] E8F07589
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 0001A906
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 00FC6583
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 8D0875FF
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 001D67E8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 0001F156
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 560004C2
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 006AF18B
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 4E8D016A
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 9006C70C
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] E800439B
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 000022DD
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] E95ECE8B
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 0001A999
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] E8F18B56
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] FFFFFFDB
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 082444F6
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 56077401
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 01AB68E8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] 0004C25E
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 9B9C01C7
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] BCE90043
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 56FFFFFF
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] 06C7F18B
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] [00439B9C] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] FFFFAEE8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 2444F6FF
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 07740108
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] AB3BE856
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 8B590001
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] 04C25EC6
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] B8046A00
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] [00433E58] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 01F009E8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 89F18B00
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 7D8BF075
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] DEE85708
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 830001A8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] 8300FC65
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 06C70C4E
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] [00439B90] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] 001CC7E8
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] E8C68B00
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 0001F0B6
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 830004C2
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] 60830020
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 0A8B0004
IAT C:\WINDOWS\System32\svchost.exe[1472] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 04728B56

---- Devices - GMER 1.0.15 ----

Device \Driver\NDIS \Device\Ndis [82491984] NDIS.sys[.reloc]

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 EABFiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Company)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\ndis.sys (size mismatch) 212480/182656 bytes executable
File C:\WINDOWS\system32\dllcache\ndis.sys (size mismatch) 212480/182656 bytes executable
File C:\WINDOWS\$NtServicePackUninstall$\ndis.sys (size mismatch) 182912/182656 bytes executable

---- EOF - GMER 1.0.15 ----


Wäre wirklich super, wenn mir jemand helfen könnte oder sagen könnte, welche Auswirkungen der Trojaner hat. Ob ich vielleicht nicht mehr Homebanking vom Laptop aus machen sollte, usw.

Vielen Dank.

Alt 14.02.2010, 20:40   #2
Slimix87
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hi Jullia


Lade dir mal Malwarebytes Anti-Malware, und Poste hier das Log.


Danach HijackThis laden und auch das Log hier mit einfügen.

- Programm bitte wie in der Anleitung beschrieben ausführen.



mfg
__________________

__________________
Alt 15.02.2010, 20:10   #3
~Julia~
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hallo,

hier das Malwarebytes-Report:

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3741
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15.02.2010 20:02:01
mbam-log-2010-02-15 (20-02-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 157579
Laufzeit: 1 hour(s), 54 minute(s), 10 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\10113511 (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\juliaxxx\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

----------------------------

Der Hijack This-Report kommt gleich.
__________________
Alt 15.02.2010, 20:23   #4
~Julia~
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hier der HijackThis-Report:

Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:18:45, on 15.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\PROGRA~2\AVG\AVG8\avgtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\AVG\AVG8\avgwdsvc.exe
C:\Programme\Juniper Networks\Common Files\dsNcService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~2\AVG\AVG8\avgrsx.exe
C:\PROGRA~2\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TrendMicro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~2\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~2\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - [***]h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cab[/url]
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - [***]h**p://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [***]h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197194466468[/url]
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~2\AVG\AVG8\avgwdsvc.exe
O23 - Service: Juniper Network Connect Service (dsNcService) - Juniper Networks - C:\Programme\Juniper Networks\Common Files\dsNcService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6103 bytes


--------------------------------------

So, ich hoffe, da kann jemand was mit anfangen.

Vielen Dank schon mal im Voraus.

Julia
Geändert von ~Julia~ (15.02.2010 um 20:31 Uhr)

Alt 16.02.2010, 23:32   #5
Slimix87
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


In dem Log finde ich jetzt nichts.


Wäre nett wenn sich ein Helfer das Log nochmal zur Brust nehmen könnte.


Treten nach dem Scann mit Malwarebytes noch Probleme auf? Falls ja, die betroffene Datei mal bitte bei http://www.virustotal.com/de Hochladen und Log Posten.


Wie du alle Dateien sichtbar machst, kannst du hier nachlesen



mfg

__________________
In Bearbeitung...


Trojaner-Board - Spendenkonto

Alt 20.02.2010, 16:44   #6
~Julia~
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hallo,

die Meldung kommt immernoch und Virustotal funktioniert irgendwie nicht. Der Server scheint Probleme zu haben.

Julia

Alt 21.02.2010, 11:12   #7
Slimix87
 
Rootkit.Pakes-AA nicht vom GMER gefunden - Standard

Rootkit.Pakes-AA nicht vom GMER gefunden


Hi Julia,



scheint doch etwas größeres zu sein,


Das Rootkit verwendet nur die eigenen, unmodifizierten NDIS API Funktionen, um seine Tätigkeit durchzuführen. Diese Vorgehensweise wurde früher auch schon bei anderen Malware Beispielen wie "Rustock" und "Srizbi" beobachtet. Was wir aber bisher noch nie vorher beobachten konnten ist die Tatsache, dass das MBR Rootkit eine "Code Pullout" Technik verwendet, um nur den relevanten Code des "ndis.sys" Treibers anstelle des gesamten....Weiterlesen


Leider kann ich dir ja auch nicht weiterhelfen. Ich kann dir nur raten falls das zutreffen sollte, dein System neu aufzuspielen.


Neuaufsetzen des Systems + Absicherung


mfg
__________________
In Bearbeitung...


Trojaner-Board - Spendenkonto

Antwort

Themen zu Rootkit.Pakes-AA nicht vom GMER gefunden
avg, bytes, computer, datei, dllcache, ergebnis, filter, generic, generic host process, gmer, gmer logfile, homebanking, image, infiziert, klicke, laptop, löschen, nicht mehr, ntdll.dll, problem, rootkit, scan, services, super, svchost.exe, temp, trojaner, udp, web, win32


« Trojan Downloader über Video, bin ich infiziert? | Piepen des Labtops und Kontrolle vom Programm nicht mehr möglich »


Ähnliche Themen: Rootkit.Pakes-AA nicht vom GMER gefunden


  1. digitale Signatur kann nicht überprüft werden bei Gmer-evtl. Rootkit?
    Log-Analyse und Auswertung - 06.04.2015 (7)
  2. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  3. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  4. Mit Gmer ein Rootkit gefunden, wie löschen?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (3)
  5. Rootkit lässt sich nicht entfernen Gmer stürzt mit Bluescreen ab!
    Plagegeister aller Art und deren Bekämpfung - 12.11.2011 (13)
  6. GMER hat Rootkit gefunden (vdrv1000.sys)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (5)
  7. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  8. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  9. Trojan.Dropper gefunden - angebl beseitigt GMER meldet Rootkit
    Plagegeister aller Art und deren Bekämpfung - 10.05.2010 (3)
  10. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  11. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  12. Trojaner mit GMER gefunden. Norton geht nicht mehr und Hochfahren macht macken.
    Plagegeister aller Art und deren Bekämpfung - 04.01.2010 (1)
  13. GMER zeigt Rootkit, Laptop läuft ohne Programme auf 100%, nicht auszuschalten ...
    Log-Analyse und Auswertung - 23.12.2009 (27)
  14. GMER findet Rootkit - FalsePositive oder nicht?
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (16)
  15. AVG findet Rootkit-Pakes.U in C:\WINDOWS\system32\drivers\atapi.sys
    Plagegeister aller Art und deren Bekämpfung - 05.11.2009 (10)
  16. gmer läuft nicht mehr durch - rootkit eingefangen?
    Log-Analyse und Auswertung - 06.05.2009 (1)
  17. Rootkit laut Gmer, HJT ohne Erfolg? delete klappt nicht:(
    Mülltonne - 13.11.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit.Pakes-AA nicht vom GMER gefunden - Hallo, ich habe seit ca. 3 Tagen ein Problem mit einem Rootkit. AVG gibt mir regelmäßig die Meldung, dass die Datei C:/windows/system32/drivers/ndis.sys mit dem Trojaner Rootkit-Pakes-AA infiziert ist. Ich kann - Rootkit.Pakes-AA nicht vom GMER gefunden...
Archiv
Du betrachtest: Rootkit.Pakes-AA nicht vom GMER gefunden auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131