TR/Crypt.ZPACK.Gen in C:\Users\***\AppData\Local\Temp\eapp32hst.dl

Cagun · 15.10.2010, 13:17

Bedauerlicherweise gibt es gerade ein Problem auf der OSAM Seite mit der portablen Version und ich konnte das daher nicht durchführen. Hier schonmal die GMER und MBRcheck Logs:

GMER:

Code:

ATTFilter

GMER 1.0.15.15315 - hxxp://www.gmer.net
Rootkit scan 2010-10-15 14:06:25
Windows 6.0.6002 Service Pack 2
Running: bgc8fmlb.exe; Driver: C:\Users\***\AppData\Local\Temp\pgldqpog.sys


---- System - GMER 1.0.15 ----

SSDT   81DDEB1C                                                                                                            ZwCreateThread
SSDT   81DDEB08                                                                                                            ZwOpenProcess
SSDT   81DDEB0D                                                                                                            ZwOpenThread
SSDT   81DDEB17                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  ntkrnlpa.exe!KeSetEvent + 221                                                                                       820F2984 4 Bytes  [1C, EB, DD, 81]
.text  ntkrnlpa.exe!KeSetEvent + 3F2                                                                                       820F2B55 3 Bytes  [EB, DD, 81]
.text  ntkrnlpa.exe!KeSetEvent + 40D                                                                                       820F2B70 4 Bytes  [0D, EB, DD, 81]
.text  ntkrnlpa.exe!KeSetEvent + 621                                                                                       820F2D84 4 Bytes  [17, EB, DD, 81]
.text  C:\Windows\system32\DRIVERS\nvlddmkm.sys                                                                            section is writeable [0x8E80F340, 0x3C9C37, 0xE8000020]
.text  C:\Windows\system32\DRIVERS\atksgt.sys                                                                              section is writeable [0x8F3BB300, 0x3B6D8, 0xE8000020]
.text  C:\Windows\system32\DRIVERS\lirsgt.sys                                                                              section is writeable [0x9C5DE300, 0x1BEE, 0xE8000020]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x96 0x4B 0x89 0xB5 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xEA 0x44 0x6B 0x80 ...
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg    HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0xD4 0x48 0x73 0xDA ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x96 0x4B 0x89 0xB5 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xEA 0x44 0x6B 0x80 ...
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg    HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0xD4 0x48 0x73 0xDA ...

---- EOF - GMER 1.0.15 ----

MBRcheck

Code:

ATTFilter

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:            
Windows Version:        Windows Vista Home Basic Edition
Windows Information:        Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:    hxxp://www.abit.com.tw/
BIOS Manufacturer:        Phoenix Technologies, LTD
System Manufacturer:        Manufacter
System Product Name:        Product
Logical Drives Mask:        0x0000000c

Kernel Drivers (total 136):
  0x8200B000 \SystemRoot\system32\ntkrnlpa.exe
  0x823C4000 \SystemRoot\system32\hal.dll
  0x80404000 \SystemRoot\system32\kdcom.dll
  0x8040B000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
  0x8047B000 \SystemRoot\system32\PSHED.dll
  0x8048C000 \SystemRoot\system32\BOOTVID.dll
  0x80494000 \SystemRoot\system32\CLFS.SYS
  0x804D5000 \SystemRoot\system32\CI.dll
  0x80600000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x8067C000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x80689000 \SystemRoot\system32\drivers\acpi.sys
  0x806CF000 \SystemRoot\system32\drivers\WMILIB.SYS
  0x806D8000 \SystemRoot\system32\drivers\msisadrv.sys
  0x806E0000 \SystemRoot\system32\drivers\pci.sys
  0x80707000 \SystemRoot\System32\drivers\partmgr.sys
  0x80716000 \SystemRoot\system32\drivers\volmgr.sys
  0x80725000 \SystemRoot\System32\drivers\volmgrx.sys
  0x8076F000 \SystemRoot\system32\drivers\intelide.sys
  0x80776000 \SystemRoot\system32\drivers\PCIIDEX.SYS
  0x80784000 \SystemRoot\system32\drivers\pciide.sys
  0x8078B000 \SystemRoot\System32\drivers\mountmgr.sys
  0x8079B000 \SystemRoot\system32\drivers\nvraid.sys
  0x807B6000 \SystemRoot\system32\drivers\CLASSPNP.SYS
  0x807D7000 \SystemRoot\system32\drivers\atapi.sys
  0x807DF000 \SystemRoot\system32\drivers\ataport.SYS
  0x805B5000 \SystemRoot\system32\drivers\fltmgr.sys
  0x805E7000 \SystemRoot\system32\drivers\fileinfo.sys
  0x8260C000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x8267D000 \SystemRoot\system32\drivers\ndis.sys
  0x82788000 \SystemRoot\system32\drivers\msrpc.sys
  0x827B3000 \SystemRoot\system32\drivers\NETIO.SYS
  0x8AA05000 \SystemRoot\System32\drivers\tcpip.sys
  0x8AAEF000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x8AC03000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x8AD13000 \SystemRoot\system32\drivers\volsnap.sys
  0x8AD4C000 \SystemRoot\System32\Drivers\spldr.sys
  0x8AD54000 \SystemRoot\System32\Drivers\mup.sys
  0x8AD63000 \SystemRoot\System32\drivers\ecache.sys
  0x8AD8A000 \SystemRoot\system32\drivers\disk.sys
  0x8AD9B000 \SystemRoot\system32\drivers\crcdisk.sys
  0x8ADC4000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8ADCF000 \SystemRoot\system32\DRIVERS\tunmp.sys
  0x8ADD8000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0x8ADE7000 \SystemRoot\system32\DRIVERS\fdc.sys
  0x8AB0A000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8ADF2000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8AB1D000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8AB28000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x8AB32000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8AB70000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8AB7F000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x8EA0A000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8EC04000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
  0x8F2F6000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x8F395000 \SystemRoot\System32\drivers\watchdog.sys
  0x8EA97000 \SystemRoot\system32\DRIVERS\nvmfdx32.sys
  0x8F3A1000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8F3AA000 \SystemRoot\system32\DRIVERS\msiscsi.sys
  0x8EB94000 \SystemRoot\system32\DRIVERS\storport.sys
  0x8F3D9000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8F3E4000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8EBD5000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8AB97000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8EBE0000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8ABBA000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8ABCE000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x8EBEF000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8EA00000 \SystemRoot\system32\DRIVERS\seehcri.sys
  0x8F3FB000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8F60F000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8F639000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8F643000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x8F650000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x8F685000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x8F809000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x8FAF0000 \SystemRoot\system32\drivers\portcls.sys
  0x8FB1D000 \SystemRoot\system32\drivers\drmk.sys
  0x8FB42000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0x8FB4B000 \SystemRoot\System32\Drivers\Null.SYS
  0x8FB52000 \SystemRoot\System32\Drivers\Beep.SYS
  0x8FB59000 \SystemRoot\System32\drivers\vga.sys
  0x8FB65000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x8FB86000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8FB8E000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x8FB96000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x8FBA1000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x8FBAF000 \SystemRoot\System32\DRIVERS\rasacd.sys
  0x8FBB8000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x8FBCE000 \SystemRoot\system32\DRIVERS\smb.sys
  0x8F696000 \SystemRoot\system32\drivers\afd.sys
  0x8F6DE000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8FBE2000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8F710000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8F738000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8FBF8000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8F74B000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8F787000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8F791000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8F7A8000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8FBFE000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
  0x8FE0A000 \SystemRoot\system32\DRIVERS\TS154USB.sys
  0x8FE67000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x8FE69000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x8FE76000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x8FE81000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x97450000 \SystemRoot\System32\win32k.sys
  0x8FE89000 \SystemRoot\System32\drivers\Dxapi.sys
  0x8FE93000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x97670000 \SystemRoot\System32\TSDDD.dll
  0x97690000 \SystemRoot\System32\cdd.dll
  0x8FEA2000 \SystemRoot\system32\drivers\luafv.sys
  0x8FEBD000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x8FED1000 \SystemRoot\system32\drivers\spsys.sys
  0x8FF81000 \SystemRoot\system32\DRIVERS\mdc8021x.sys
  0x8FF85000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x8FF95000 \SystemRoot\system32\DRIVERS\nwifi.sys
  0x8FFBF000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0x8FFC9000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x9C60E000 \SystemRoot\system32\drivers\HTTP.sys
  0x9C67B000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9C698000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x9C6B1000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x9C6C6000 \SystemRoot\system32\drivers\mrxdav.sys
  0x9C6E7000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x9C706000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x9C73F000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9C757000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9C77E000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9C7CC000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x9D003000 \SystemRoot\system32\DRIVERS\atksgt.sys
  0x9D046000 \SystemRoot\system32\DRIVERS\lirsgt.sys
  0x9D04B000 \SystemRoot\system32\drivers\peauth.sys
  0x9D129000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9D133000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9D13F000 \SystemRoot\system32\DRIVERS\cdfs.sys
  0x77700000 \Windows\System32\ntdll.dll

Processes (total 48):
       0 System Idle Process
       4 System
     464 C:\Windows\System32\smss.exe
     544 csrss.exe
     596 C:\Windows\System32\wininit.exe
     608 csrss.exe
     640 C:\Windows\System32\services.exe
     652 C:\Windows\System32\lsass.exe
     660 C:\Windows\System32\lsm.exe
     760 C:\Windows\System32\winlogon.exe
     868 C:\Windows\System32\svchost.exe
     932 C:\Windows\System32\nvvsvc.exe
     960 C:\Windows\System32\svchost.exe
    1004 C:\Windows\System32\svchost.exe
    1084 C:\Windows\System32\svchost.exe
    1148 C:\Windows\System32\svchost.exe
    1180 C:\Windows\System32\svchost.exe
    1260 C:\Windows\System32\audiodg.exe
    1292 C:\Windows\System32\SLsvc.exe
    1340 C:\Windows\System32\rundll32.exe
    1364 C:\Windows\System32\svchost.exe
    1580 C:\Windows\System32\svchost.exe
    1788 C:\Windows\System32\spoolsv.exe
    1812 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1828 C:\Windows\System32\svchost.exe
    2032 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
     532 C:\Windows\System32\svchost.exe
     944 C:\Windows\System32\svchost.exe
    1356 C:\Windows\System32\svchost.exe
    1592 C:\Windows\System32\SearchIndexer.exe
    2496 C:\Windows\System32\taskeng.exe
    2756 C:\Windows\System32\dwm.exe
    2792 C:\Windows\System32\taskeng.exe
    2852 C:\Windows\explorer.exe
    3124 C:\Program Files\Windows Defender\MSASCui.exe
    3148 C:\Windows\System32\rundll32.exe
    3180 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3212 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    3252 C:\Program Files\T-Com\Sinus 154 data II\PRISMSVR.exe
    3308 C:\Program Files\Windows Sidebar\sidebar.exe
    3328 C:\Program Files\T-Com\Sinus 154 data II\TS154USB.exe
    3796 C:\Program Files\Mozilla Firefox\firefox.exe
     860 C:\Program Files\Mozilla Firefox\plugin-container.exe
    1132 C:\Windows\System32\wuauclt.exe
    3664 C:\Windows\System32\SearchProtocolHost.exe
    2284 C:\Windows\System32\SearchFilterHost.exe
    1112 C:\Users\***\Desktop\MBRCheck.exe
    1108 C:\Windows\System32\conime.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000  (NTFS)

PhysicalDrive0 Model Number: HitachiHDP725032GLA360, Rev: GM3OA52A

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0   Windows Vista MBR code detected
            SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979


Done!

TR/Crypt.ZPACK.Gen in C:\Users\***\AppData\Local\Temp\eapp32hst.dl

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.ZPACK.Gen in C:\Users\***\AppData\Local\Temp\eapp32hst.dl

TR/Crypt.ZPACK.Gen in C:\Users\***\AppData\Local\Temp\eapp32hst.dl

Ähnliche Themen: TR/Crypt.ZPACK.Gen in C:\Users\***\AppData\Local\Temp\eapp32hst.dl