Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Tr/Agent.atw.1 und TR/Drop.Renos.C.4

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


Plagegeister aller Art und deren Bekämpfung: Tr/Agent.atw.1 und TR/Drop.Renos.C.4

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.08.2010, 22:27   #1
sunnaa
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


hey.
das ging jetzt über ne stunde. habs um ehrlich zu sein, jetzt auch abgebrochen. dauert das wirklich solang?

hier erstmal die ergebnisse:

GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-23 23:21:06
Windows 6.1.7600 
Running: kqfpwcc0.exe; Driver: C:\Users\Sara\AppData\Local\Temp\kgtdypow.sys


---- System - GMER 1.0.15 ----

SSDT                                                                                                                                  805936EC                                                                                                 ZwCreateThread
SSDT                                                                                                                                  805936D8                                                                                                 ZwOpenProcess
SSDT                                                                                                                                  805936DD                                                                                                 ZwOpenThread
SSDT                                                                                                                                  805936E7                                                                                                 ZwTerminateProcess

INT 0x06                                                                                                                              \??\C:\Windows\system32\drivers\Haspnt.sys                                                               979B916D
INT 0x0E                                                                                                                              \??\C:\Windows\system32\drivers\Haspnt.sys                                                               979B8FC2
INT 0x1F                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1FAF8
INT 0x37                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1F104
INT 0xC1                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1F3F4
INT 0xD1                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E082D8
INT 0xD2                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E07898
INT 0xDF                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1F1DC
INT 0xE1                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1F958
INT 0xE3                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1F6F8
INT 0xFD                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E1FF2C
INT 0xFE                                                                                                                              \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                 82E201A8

---- Kernel code sections - GMER 1.0.15 ----

.text                                                                                                                                 ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                          82E7F599 1 Byte  [06]
.text                                                                                                                                 ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                   82EA3F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text                                                                                                                                 ntkrnlpa.exe!RtlSidHashLookup + 34C                                                                      82EAB85C 4 Bytes  [EC, 36, 59, 80]
.text                                                                                                                                 ntkrnlpa.exe!RtlSidHashLookup + 4E8                                                                      82EAB9F8 4 Bytes  [D8, 36, 59, 80]
.text                                                                                                                                 ntkrnlpa.exe!RtlSidHashLookup + 508                                                                      82EABA18 4 Bytes  [DD, 36, 59, 80]
.text                                                                                                                                 ntkrnlpa.exe!RtlSidHashLookup + 7B8                                                                      82EABCC8 4 Bytes  [E7, 36, 59, 80]
?                                                                                                                                     System32\drivers\gnkq.sys                                                                                Das System kann den angegebenen Pfad nicht finden. !
.text                                                                                                                                 C:\Windows\system32\drivers\hardlock.sys                                                                 section is writeable [0x9A820400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9A8C4620]  C:\Windows\system32\drivers\hardlock.sys                                                                 entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9A8C4620]
.protectÿÿÿÿhardlockunknown last code section [0x9A8C4400, 0x5126, 0xE0000020]                                                        C:\Windows\system32\drivers\hardlock.sys                                                                 unknown last code section [0x9A8C4400, 0x5126, 0xE0000020]
.text                                                                                                                                 peauth.sys                                                                                               9A933C9D 28 Bytes  [C4, 67, A8, 59, B9, 67, 20, ...]
.text                                                                                                                                 peauth.sys                                                                                               9A933CC1 28 Bytes  [C4, 67, A8, 59, B9, 67, 20, ...]
PAGE                                                                                                                                  peauth.sys                                                                                               9A939B9B 72 Bytes  [09, 92, 93, 8B, E3, 05, 52, ...]
PAGE                                                                                                                                  peauth.sys                                                                                               9A939BEC 111 Bytes  [D9, 21, E6, 3C, 79, 7C, FD, ...]
PAGE                                                                                                                                  peauth.sys                                                                                               9A939E20 101 Bytes  [C9, 6E, E2, 32, C4, BA, 5D, ...]
PAGE                                                                                                                                  ...                                                                                                      
                                                                                                                                      C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                    entry point in "" section [0x9781F41C]
.clc                                                                                                                                  C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl                                                    unknown last code section [0x97820000, 0x1000, 0xE0000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                          [74542494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                     [74525624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                    [745256E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                           [7454250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                 [74538573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                   [74534D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                  [745350CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                 [745351A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]        [745366D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                  [745382CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]             [74538819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]           [7453907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                 [7453E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                     [74534C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread]  [00DE1D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread]              [00DE27E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT                                                                                                                                   C:\Windows\Explorer.EXE[2400] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA]              [00DE11D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT                                                                                                                                   C:\Windows\System32\rundll32.exe[3764] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [75815E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\System32\rundll32.exe[3764] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [75815E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\System32\rundll32.exe[3764] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [75815E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT                                                                                                                                   C:\Windows\System32\rundll32.exe[3764] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [75815E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice                                                                                                                        \Driver\kbdclass \Device\KeyboardClass0                                                                  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice                                                                                                                        \Driver\kbdclass \Device\KeyboardClass1                                                                  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice                                                                                                                        \Driver\volmgr \Device\HarddiskVolume1                                                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice                                                                                                                        \Driver\volmgr \Device\HarddiskVolume2                                                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device                                                                                                                                \Driver\ACPI_HAL \Device\00000059                                                                        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice                                                                                                                        \Driver\volmgr \Device\HarddiskVolume3                                                                   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice                                                                                                                        \FileSystem\fastfat \Fat                                                                                 fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---
Alt 23.08.2010, 22:37   #2
john.doe
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


Es dauert so lang wie es dauert. Mit halben Logs kann ich nichts anfangen.

Zudem fehlt genau der Teil, der wichtig ist. Mache nur Haken bei Registry und Services und poste vorab das Log.

ciao, andreas
__________________

__________________
Alt 25.08.2010, 04:11   #3
sunnaa
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


hey andreas

hier nun der vollständige scan:

GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-25 05:05:54
Windows 6.1.7600
Running: kqfpwcc0.exe; Driver: C:\Users\Sara\AppData\Local\Temp\kgtdypow.sys


---- System - GMER 1.0.15 ----

SSDT 96129744 ZwCreateThread
SSDT 96129730 ZwOpenProcess
SSDT 96129735 ZwOpenThread
SSDT 9612973F ZwTerminateProcess

INT 0x06 \??\C:\Windows\system32\drivers\Haspnt.sys 943F416D
INT 0x0E \??\C:\Windows\system32\drivers\Haspnt.sys 943F3FC2
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83239AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83239104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832393F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832222D8
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83221898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832391DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83239958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 832396F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 83239F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 8323A1A8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82E52599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82E76F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!RtlSidHashLookup + 34C 82E7E85C 4 Bytes [44, 97, 12, 96]
.text ntkrnlpa.exe!RtlSidHashLookup + 4E8 82E7E9F8 4 Bytes [30, 97, 12, 96]
.text ntkrnlpa.exe!RtlSidHashLookup + 508 82E7EA18 4 Bytes [35, 97, 12, 96]
.text ntkrnlpa.exe!RtlSidHashLookup + 7B8 82E7ECC8 4 Bytes [3F, 97, 12, 96]
.text C:\Windows\system32\drivers\hardlock.sys section is writeable [0x9B80A400, 0x87EE2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9B8AE620] C:\Windows\system32\drivers\hardlock.sys entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0x9B8AE620]
.protectÿÿÿÿhardlockunknown last code section [0x9B8AE400, 0x5126, 0xE0000020] C:\Windows\system32\drivers\hardlock.sys unknown last code section [0x9B8AE400, 0x5126, 0xE0000020]
.text peauth.sys 9B91DC9D 28 Bytes [0F, E2, ED, D3, E6, D9, 17, ...]
.text peauth.sys 9B91DCC1 28 Bytes [0F, E2, ED, D3, E6, D9, 17, ...]
C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl entry point in "" section [0x8B70841C]
.clc C:\Program Files\Acer Arcade Deluxe\PlayMovie\000.fcl unknown last code section [0x8B709000, 0x1000, 0xE0000020]

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74152494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74135624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [741356E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7415250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74148573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74144D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [741450CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [741451A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [741466D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [741482CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74148819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7414907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7414E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74144C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!FreeLibraryAndExitThread] [005A1D90] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!CreateThread] [005A27E0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)
IAT C:\Windows\Explorer.EXE[2432] @ C:\Windows\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [005A11D0] C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\PSDProtect.dll (Egis Inc. PSD DragDrop Protection/Egis Inc.)

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device \Driver\ACPI_HAL \Device\00000059 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
__________________
Alt 25.08.2010, 15:20   #4
john.doe
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


Wieder nicht vollständig.

Es fehlt die Abteilung Registry und Driver. Ein vollständiges Log endet mit
Zitat:
---- EOF - GMER 1.0.15 ----
Mach nur Haken bei
  • Devices
  • Services
  • Registry
scanne und poste das vollständige Log. Gleich im Anschluß => http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 25.08.2010, 23:30   #5
sunnaa
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-08-25 21:47:41
Windows 6.1.7600 
Running: kqfpwcc0.exe; Driver: C:\Users\Sara\AppData\Local\Temp\kgtdypow.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1  Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3   fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3   rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000005a        halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \FileSystem\fastfat \Fat                 fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
--- --- ---
Alt 27.08.2010, 15:30   #6
john.doe
 
Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - Standard

Tr/Agent.atw.1 und TR/Drop.Renos.C.4


Weiter mit http://www.trojaner-board.de/85104-o...-oldtimer.html

ciao, andreas
__________________
--> Tr/Agent.atw.1 und TR/Drop.Renos.C.4

Antwort

Themen zu Tr/Agent.atw.1 und TR/Drop.Renos.C.4
arbeit, avira, hilflos, immer wieder, morgen, quarantäne, studie, troja, wichtige


« WORM/Conficker.Y.13 in G:\RECYCLER\...\jwgkvsq.vmx | Antimalware Doctor + "in einer Minute wird der rechner runtergefahren" »


Ähnliche Themen: Tr/Agent.atw.1 und TR/Drop.Renos.C.4


  1. Tr drop agent
    Log-Analyse und Auswertung - 25.01.2015 (9)
  2. TR/Drop.Agent.GJ.55
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (7)
  3. TR/Agent.379392.F, TR/Drop.Agent.dil, TR/Crypt.ZPACK.Gen2 bei AntiVir gefunden
    Plagegeister aller Art und deren Bekämpfung - 25.12.2011 (43)
  4. Avirafund: TR/Drop.Agent.cxpr, JAVA/Agent.A, JAVA/Rowindal.C und andere
    Plagegeister aller Art und deren Bekämpfung - 14.09.2010 (25)
  5. TR/PSW.Papras.WH, TR/Agent.158720, TR/Dldr.Renos.KF.75
    Plagegeister aller Art und deren Bekämpfung - 05.03.2010 (14)
  6. Win32/renos.jm // TR/Drop.agen.
    Plagegeister aller Art und deren Bekämpfung - 05.02.2010 (4)
  7. TR/Drop.Agent.wle
    Plagegeister aller Art und deren Bekämpfung - 05.06.2009 (4)
  8. drop agent gna 2
    Log-Analyse und Auswertung - 19.05.2009 (9)
  9. TR/Crypt.XPACK.Gen'/ TR/Drop.Agent.qkm/ TR/Drop.Mudr.CY.305...alles seit heut morgen!
    Plagegeister aller Art und deren Bekämpfung - 06.04.2009 (8)
  10. TR/Drop.Agent.age
    Plagegeister aller Art und deren Bekämpfung - 15.01.2009 (14)
  11. TR/Drop.Agent.dgo.8
    Plagegeister aller Art und deren Bekämpfung - 13.01.2008 (1)
  12. Trojanerfund Drop.Agent.dgo.8 und Drop.Agent.dgo.21
    Log-Analyse und Auswertung - 03.01.2008 (5)
  13. TR/Drop.Agent.SB
    Plagegeister aller Art und deren Bekämpfung - 01.02.2007 (1)
  14. TR/Drop.Agent.adp.2 und adp.3
    Plagegeister aller Art und deren Bekämpfung - 07.08.2006 (5)
  15. TR/Drop.Agent.ams
    Plagegeister aller Art und deren Bekämpfung - 04.06.2006 (5)
  16. TR/Drop.Agent.PA.1
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (4)
  17. TR\Drop.Agent.Ar
    Log-Analyse und Auswertung - 14.11.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Tr/Agent.atw.1 und TR/Drop.Renos.C.4 - hey. das ging jetzt über ne stunde. habs um ehrlich zu sein, jetzt auch abgebrochen. dauert das wirklich solang? hier erstmal die ergebnisse: GMER Logfile: Code: Alles auswählen Aufklappen ATTFilter - Tr/Agent.atw.1 und TR/Drop.Renos.C.4...
Archiv
Du betrachtest: Tr/Agent.atw.1 und TR/Drop.Renos.C.4 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131