mehrere infektionen, kaum symptome

lemor · 20.01.2011, 14:59

moin,
ich habe ein riesen problem mit einem infizierten rechner. ich weiss nicht wann und wie der rechner infiziert wurde und wie lange er schon korrumpiert ist, denn es zeigen sich kaum typische symptome. ich bin erst durch routerlogs darauf aufmerksam geworden das etwas nicht stimmt und konnte dann auch den rechner im netzwerk identifizieren. ich habe dann gleich ein paar tools ausgeführt die ihr hier empfiehlt, bräuchte dazu aber etwas hilfe. wäre nett wenn sich das wer anschauen könnte. thx

hijackthis log

HiJackthis Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 23:44:50, on 19.01.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
G:\QuickTime\qttask.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Software\Opera\Opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Java\jre6\bin\jucheck.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
F:\Software\Malwarebytes' Anti-Malware\mbam.exe
F:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 72.32.122.8:80
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Software\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] F:\Software\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Nero\data\Xtras\mssysmgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/TransferSource/grTransferCtrl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - hxxp://javadl.sun.com/webapps/download/AutoDL?BundleId=24931
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5649 bytes

--- --- ---

malwarebytes log

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5557

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

20.01.2011 00:30:21
mbam-log-2011-01-20 (00-30-21).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 154614
Laufzeit: 6 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\1a6d.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\richtx64.exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\0.8855078086439663.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\h8srtad47.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\**\lokale einstellungen\Temp\h8srtaeed.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

gmer log

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-20 03:27:34
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600JB-55GVC0 rev.08.02D08
Running: lb2xnefp.exe; Driver: C:\DOKUME~1\**\LOKALE~1\Temp\kgtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwAdjustPrivilegesToken [0xB344CA72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwClose [0xB344D01E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwConnectPort [0xB344EA82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateFile [0xB344E438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateKey [0xB344C1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateSymbolicLinkObject [0xB34503E4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateThread [0xB344CE1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteKey [0xB344C62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteValueKey [0xB344C82A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeviceIoControlFile [0xB344E744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDuplicateObject [0xB34508F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateKey [0xB344C940]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateValueKey [0xB344C9A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwFsControlFile [0xB344E5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwLoadDriver [0xB344FEA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenFile [0xB344E294]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenKey [0xB344C34A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenProcess [0xB344CC40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenSection [0xB345040E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenThread [0xB344CB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryKey [0xB344CA10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryMultipleValueKey [0xB344C714]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryValueKey [0xB344C4F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueueApcThread [0xB3450110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwReplaceKey [0xB344BE6A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRequestWaitReplyPort [0xB344F30C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRestoreKey [0xB344BFCC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwResumeThread [0xB34507C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSaveKey [0xB344BC68]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSecureConnectPort [0xB344E924]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetContextThread [0xB344CF18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSecurityObject [0xB344FFA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSystemInformation [0xB3450438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetValueKey [0xB344C3A0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendProcess [0xB345051C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendThread [0xB3450648]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSystemDebugControl [0xB344FDD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwTerminateProcess [0xB344CCEA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwWriteVirtualMemory [0xB344CD5C]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                             804E9FA0 5 Bytes  JMP B34631E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                                804EE87E 5 Bytes  JMP B34635A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 23E0                                                                 80501C18 4 Bytes  JMP 0E10B344 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2408                                                                 80501C40 4 Bytes  CALL 8B036106 
.text           ntkrnlpa.exe!ZwCallbackReturn + 26AC                                                                 80501EE4 4 Bytes  JMP 4C4CD22D 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2758                                                                 80501F90 12 Bytes  [1C, 05, 45, B3, 48, 06, 45, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2768                                                                 80501FA0 4 Bytes  JMP B2B344CC 
?               cceip.sys                                                                                            Das System kann die angegebene Datei nicht finden. !
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                             section is writeable [0xB6209380, 0x566445, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                               section is writeable [0xB0B5E300, 0x22020, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                               section is writeable [0xB83F8300, 0x1B7E, 0xE8000020]
init            C:\WINDOWS\System32\atkosdmini.dll                                                                   entry point in "init" section [0xBD04A480]

---- User code sections - GMER 1.0.15 ----

?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[724] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[724] USER32.dll!AlignRects + FFFA5598   7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1956] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1956] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                          kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                             fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

TDSS Killer log

HTML-Code:

2011/01/19 23:58:31.0916	TDSS rootkit removing tool 2.4.14.0 Jan 18 2011 09:33:51
2011/01/19 23:58:31.0916	================================================================================
2011/01/19 23:58:31.0916	SystemInfo:
2011/01/19 23:58:31.0916	
2011/01/19 23:58:31.0916	OS Version: 5.1.2600 ServicePack: 3.0
2011/01/19 23:58:31.0916	Product type: Workstation
2011/01/19 23:58:31.0916	ComputerName: ***
2011/01/19 23:58:31.0916	UserName: ***
2011/01/19 23:58:31.0916	Windows directory: C:\WINDOWS
2011/01/19 23:58:31.0916	System windows directory: C:\WINDOWS
2011/01/19 23:58:31.0916	Processor architecture: Intel x86
2011/01/19 23:58:31.0916	Number of processors: 1
2011/01/19 23:58:31.0916	Page size: 0x1000
2011/01/19 23:58:31.0916	Boot type: Normal boot
2011/01/19 23:58:31.0916	================================================================================
2011/01/19 23:58:32.0556	Initialize success
2011/01/19 23:58:37.0447	================================================================================
2011/01/19 23:58:37.0447	Scan started
2011/01/19 23:58:37.0447	Mode: Manual; 
2011/01/19 23:58:37.0447	================================================================================
2011/01/19 23:58:41.0213	ACPI            (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/01/19 23:58:41.0697	ACPIEC          (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/01/19 23:58:42.0603	aec             (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/01/19 23:58:43.0103	AFD             (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys
2011/01/19 23:58:44.0978	ALCXWDM         (c881453898eec64027274ebb3c8cbc0f) C:\WINDOWS\system32\drivers\ALCXWDM.SYS
2011/01/19 23:58:47.0916	asuskbnt        (f5c2ccdb273a546e9c3a15250f1d9165) C:\WINDOWS\system32\drivers\atkkbnt.sys
2011/01/19 23:58:48.0400	AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/01/19 23:58:48.0853	atapi           (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/01/19 23:58:49.0775	atksgt          (5b80e84af6b02ecab72dae9afee06309) C:\WINDOWS\system32\DRIVERS\atksgt.sys
2011/01/19 23:58:50.0244	Atmarpc         (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/01/19 23:58:50.0681	audstub         (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/01/19 23:58:51.0134	Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/01/19 23:58:51.0603	cbidf2k         (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/01/19 23:58:52.0525	Cdaudio         (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/01/19 23:58:53.0025	Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/01/19 23:58:53.0478	Cdrom           (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/01/19 23:58:56.0166	Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/01/19 23:58:56.0634	dmboot          (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
2011/01/19 23:58:57.0088	dmio            (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\drivers\dmio.sys
2011/01/19 23:58:57.0572	dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/01/19 23:58:58.0119	DMusic          (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
2011/01/19 23:58:59.0650	drmkaud         (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/01/19 23:59:00.0150	EIO             (6f41da43aa4806a7bdbb2f9a8b05023e) C:\WINDOWS\system32\drivers\EIO.sys
2011/01/19 23:59:00.0697	Fastfat         (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/01/19 23:59:01.0416	Fdc             (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
2011/01/19 23:59:01.0900	Fips            (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
2011/01/19 23:59:02.0728	Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
2011/01/19 23:59:03.0338	FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/01/19 23:59:03.0822	Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/01/19 23:59:04.0447	Ftdisk          (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/01/19 23:59:05.0134	gameenum        (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/01/19 23:59:05.0650	Gpc             (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/01/19 23:59:06.0213	HidUsb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/01/19 23:59:07.0322	HSFHWBS2        (881d1c3a64904f4b6068013a99a5855b) C:\WINDOWS\system32\DRIVERS\HSFHWBS2.sys
2011/01/19 23:59:07.0963	HSF_DP          (8ed6714c8e754520dd8a939f91383ea0) C:\WINDOWS\system32\DRIVERS\HSF_DP.sys
2011/01/19 23:59:08.0931	HSF_DPV         (a95fd53bdc95ad15b7a86549185c3cc7) C:\WINDOWS\system32\DRIVERS\HSX_DPV.sys
2011/01/19 23:59:09.0697	HSXHWBS2        (37127bf673c468d7e573cdd3a05af739) C:\WINDOWS\system32\DRIVERS\HSXHWBS2.sys
2011/01/19 23:59:10.0306	HTTP            (f6aacf5bce2893e0c1754afeb672e5c9) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/01/19 23:59:12.0525	i8042prt        (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/01/19 23:59:14.0056	Imapi           (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/01/19 23:59:16.0291	Ip6Fw           (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/01/19 23:59:16.0916	IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/01/19 23:59:17.0463	IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/01/19 23:59:18.0103	IpNat           (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/01/19 23:59:18.0791	IPSec           (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/01/19 23:59:19.0509	IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/01/19 23:59:20.0056	isapnp          (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/01/19 23:59:20.0666	Kbdclass        (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/01/19 23:59:21.0103	kbdhid          (b6d6c117d771c98130497265f26d1882) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/01/19 23:59:21.0666	kl1             (cd6a8fa9395460ffe7fd8881a6c67254) C:\WINDOWS\system32\drivers\kl1.sys
2011/01/19 23:59:22.0181	klbg            (f9089982ed97340984e3dd60edd75490) C:\WINDOWS\system32\drivers\klbg.sys
2011/01/19 23:59:22.0853	KLIF            (058920abbb6b531d3ae72403990367b6) C:\WINDOWS\system32\DRIVERS\klif.sys
2011/01/19 23:59:23.0525	klim5           (cd16a39c6f61c2ae0272e1f431353bf7) C:\WINDOWS\system32\DRIVERS\klim5.sys
2011/01/19 23:59:24.0134	kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/01/19 23:59:24.0681	KSecDD          (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/01/19 23:59:25.0744	lirsgt          (975b6cf65f44e95883f3855bae8cecaf) C:\WINDOWS\system32\DRIVERS\lirsgt.sys
2011/01/19 23:59:26.0291	mdmxsdk         (3c318b9cd391371bed62126581ee9961) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys
2011/01/19 23:59:26.0869	mnmdd           (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/01/19 23:59:27.0650	Modem           (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
2011/01/19 23:59:28.0650	MODEMCSA        (1992e0d143b09653ab0f9c5e04b0fd65) C:\WINDOWS\system32\drivers\MODEMCSA.sys
2011/01/19 23:59:29.0197	Mouclass        (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/01/19 23:59:29.0791	mouhid          (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/01/19 23:59:30.0416	MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/01/19 23:59:31.0541	MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/01/19 23:59:32.0197	MRxSmb          (60ae98742484e7ab80c3c1450e708148) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/01/19 23:59:33.0103	Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/01/19 23:59:33.0650	MSKSSRV         (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/01/19 23:59:34.0259	MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/01/19 23:59:34.0822	MSPQM           (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/01/19 23:59:35.0338	mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/01/19 23:59:35.0838	ms_mpu401       (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys
2011/01/19 23:59:36.0775	MTsensor        (d48659bb24c48345d926ecb45c1ebdf5) C:\WINDOWS\system32\DRIVERS\ASACPI.sys
2011/01/19 23:59:37.0338	Mup             (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
2011/01/19 23:59:37.0947	NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/01/19 23:59:38.0541	NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/01/19 23:59:39.0150	Ndisuio         (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/01/19 23:59:39.0728	NdisWan         (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/01/19 23:59:40.0259	NDProxy         (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/01/19 23:59:40.0775	NetBIOS         (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/01/19 23:59:41.0306	NetBT           (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/01/19 23:59:41.0869	Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/01/19 23:59:42.0509	Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/01/19 23:59:43.0088	Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/01/19 23:59:44.0384	nv              (30913cbf518396912e54c2c9f1dd0f09) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
2011/01/19 23:59:45.0197	nvata           (0344aa9113dc16eec379f4652020849d) C:\WINDOWS\system32\DRIVERS\nvata.sys
2011/01/19 23:59:45.0759	NVENETFD        (720cc533eecb65553bd86b139ca04433) C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
2011/01/19 23:59:46.0306	nvnetbus        (5f9f545cc5904dd8765f84ee1d056406) C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
2011/01/19 23:59:46.0884	NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/01/19 23:59:47.0478	NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/01/19 23:59:47.0916	o1394bul        (b97f189728d0655d468ec6002b5f6a97) C:\DOKUME~1\***\LOKALE~1\Temp\o1394bul.sys
2011/01/19 23:59:48.0416	Parport         (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/01/19 23:59:48.0978	PartMgr         (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/01/19 23:59:49.0494	ParVdm          (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/01/19 23:59:50.0041	PCI             (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/01/19 23:59:51.0213	PCIIde          (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
2011/01/19 23:59:51.0728	Pcmcia          (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/01/19 23:59:55.0775	PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/01/19 23:59:56.0322	Processor       (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
2011/01/19 23:59:56.0916	PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/01/19 23:59:57.0431	Ptilink         (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/01/20 00:00:01.0650	RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/01/20 00:00:02.0228	Rasl2tp         (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/01/20 00:00:02.0775	RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/01/20 00:00:03.0322	Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/01/20 00:00:03.0791	Rdbss           (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/01/20 00:00:04.0259	RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/01/20 00:00:04.0744	rdpdr           (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/01/20 00:00:05.0228	RDPWD           (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/01/20 00:00:05.0650	redbook         (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/01/20 00:00:06.0369	Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/01/20 00:00:06.0900	serenum         (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
2011/01/20 00:00:07.0447	Serial          (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
2011/01/20 00:00:08.0588	Sfloppy         (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/01/20 00:00:10.0213	splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/01/20 00:00:10.0759	sr              (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/01/20 00:00:11.0306	Srv             (3bb03f2ba89d2be417206c373d2af17c) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/01/20 00:00:11.0838	swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/01/20 00:00:12.0369	swmidi          (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
2011/01/20 00:00:15.0228	sysaudio        (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/01/20 00:00:15.0853	Tcpip           (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/01/20 00:00:16.0400	TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/01/20 00:00:16.0931	TDTCP           (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/01/20 00:00:17.0556	TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/01/20 00:00:18.0619	Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/01/20 00:00:19.0759	Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/01/20 00:00:20.0353	usbehci         (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/01/20 00:00:20.0947	usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/01/20 00:00:21.0556	usbohci         (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
2011/01/20 00:00:22.0119	usbscan         (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/01/20 00:00:22.0697	USBSTOR         (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/01/20 00:00:23.0634	VgaSave         (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/01/20 00:00:24.0713	vmm             (590c7a3a1133e51a7e1cef67366e75af) C:\WINDOWS\system32\Drivers\vmm.sys
2011/01/20 00:00:25.0338	VolSnap         (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/01/20 00:00:25.0838	VPCNetS2        (f96a678debdccb0b4bb7f38cb2580589) C:\WINDOWS\system32\DRIVERS\VMNetSrv.sys
2011/01/20 00:00:26.0431	Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/01/20 00:00:27.0463	wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/01/20 00:00:28.0088	winachsf        (7dd2ec1efd9f48843ffc5815aebf1068) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys
2011/01/20 00:00:29.0197	WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/01/20 00:00:29.0744	WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/01/20 00:00:30.0025	================================================================================
2011/01/20 00:00:30.0025	Scan finished
2011/01/20 00:00:30.0025	================================================================================
2011/01/20 00:00:37.0291	Deinitialize success

markusg · 20.01.2011, 15:04

was ist denn das problem mit dem pc, außer natürlich das offensichtliche was ich im Malwarebytes log gesehen hab.
hast du bereits andere programme, wie kaspersky genutzt, was wurde wo gefunden?

lemor · 20.01.2011, 15:35

hi markus

typische symptome wie werbung oder blinkende symbole habe ich nicht, auch keine weiterleitungen. wenn ich eine seite aufrufe, wird die kurz geladen dann gibt es einen kurzen unterbruch von 1-2 sekunden bis dann die seite ganz geladen wird, als wenn dazwischen noch etwas stecken würde. zudem habe ich einige icons verloren und eine file extension wurde geändert. ich habe das auf das alter des rechners geschoben aber die routerlogs sind ziemlich eindeutig. ich habe pro stunde etwa 10 connections auf den selben port und das von verschiedenen clients. ich kann mir das nicht anders erklären. ich habe etwas paranoia das ich ein backdoor draufhabe oder bereits mitglied eines botnets bin.

tdsskiller hat noch dieses aktive file gefunden. o1394bul.sys . das ist auch schon öfters hier erwähnt worden.

kaspersky muss ich ehrlich gesagt sagen ist nicht aktuell, gefunden hat er die letzte zeit nichts. der rechner wird nur wenig für internet benutzt, deswegen wurde das leider vernachlässigt.

edit: ich transferiere die tools und logs per usb stick und musste eben 3 verschiedene sticks probieren bis er die daten lesen konnte. notification icon und soundfile sind ebenfalls verschwunden. das könnte auch damit zu tun haben.

markusg · 20.01.2011, 16:11

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
um was für ei netzwerk handelt es sich, firmennetz?

lemor · 20.01.2011, 16:29

combofix werde ich gleich erledigen.
ne zum glück nicht, das netzwerk ist privat.

markusg · 20.01.2011, 16:37

wie viele pcs sind denn in dem netzwerk?
zu welchen ips wird verbunden kannst du das log auszugsweise posten? bzw kannst du ja dann evtl. auch prüfen von welchem pc dieser versuch ausgeht, anhand der ip

lemor · 20.01.2011, 21:38

es sind 6 pc's im netzwerk.ein pc hatte 2 udp und eine aktive tcp connection offen die ich gleich geblockt habe, seither wird wohl versucht auf diesen tcp port zuzugreifen.
die logs werden nach 30 seiten überschrieben deswegen kann ich das auch nicht mehr genau analysieren.

sowas habe ich jetzt im log, der port variiert leicht.

HTML-Code:

Thursday January 20, 2011 06:13:44 Unrecognized attempt blocked from 60.191.234.226:9999 to *.73 TCP:20827
Thursday January 20, 2011 06:27:15 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:27:18 Unrecognized attempt blocked from 83.139.175.37:4622 to *.73 TCP:20826
Thursday January 20, 2011 06:43:28 Unrecognized attempt blocked from 61.54.227.135:1924 to *.73 TCP:20826
Thursday January 20, 2011 07:04:19 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:04:22 Unrecognized attempt blocked from 84.51.96.104:1158 to *.73 TCP:20826
Thursday January 20, 2011 07:13:40 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:43 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826
Thursday January 20, 2011 07:13:49 Unrecognized attempt blocked from 113.30.50.26:4195 to *.73 TCP:20826

HTML-Code:

Thursday January 20, 2011 07:56:08 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:56:11 Unrecognized attempt blocked from 213.198.217.140:4578 to *.73 TCP:20826
Thursday January 20, 2011 07:58:14 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 07:58:17 Unrecognized attempt blocked from 84.20.80.209:1926 to *.73 TCP:20826
Thursday January 20, 2011 08:12:56 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825
Thursday January 20, 2011 08:12:59 Unrecognized attempt blocked from 77.58.83.62:1124 to *.73 TCP:20825

combofix machte einige probleme, ist ein paar mal abgestürtzt, danach wollte er exbr.sys und catchme.sys installieren. ich habe das blockiert, war das richtig? hier das log,

Combofix Logfile:

Code:

ATTFilter

ComboFix 11-01-19.01 - *** 20.01.2011  18:17:08.3.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.3071.2494 [GMT 1:00]
ausgeführt von:: f:\temp\ComboFix.exe
AV: Kaspersky Anti-Virus *Disabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
.

(((((((((((((((((((((((   Dateien erstellt von 2010-12-20 bis 2011-01-20  ))))))))))))))))))))))))))))))
.

2011-01-19 22:38 . 2011-01-19 22:38	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-19 22:38 . 2011-01-19 22:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2011-01-19 22:38 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-11 08:46 . 2011-01-11 08:46	98304	----a-w-	c:\windows\system32\CmdLineExt.dll
2011-01-11 08:28 . 2004-10-22 01:16	180224	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iuser.dll
2011-01-11 08:28 . 2004-10-22 01:17	274432	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iscript.dll
2011-01-11 08:28 . 2004-10-22 01:17	69715	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\ctor.dll
2011-01-11 08:28 . 2004-10-22 01:16	5632	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\DotNetInstaller.exe
2011-01-11 08:28 . 2004-10-22 01:18	749568	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iKernel.dll
2011-01-11 08:27 . 2011-01-11 08:27	192644	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\iGdi.dll
2011-01-11 08:27 . 2011-01-11 08:27	323716	----a-w-	c:\programme\Gemeinsame Dateien\InstallShield\Professional\RunTime\10\50\Intel32\setup.dll

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-20 16:47 . 2007-01-31 13:26	1409	----a-w-	c:\windows\QTFont.for
2010-10-31 20:35 . 2008-11-22 10:26	165232	---ha-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Microsoft\Virtual PC\VPCKeyboard.dll
.

(((((((((((((((((((((((((((((   SnapShot@2011-01-20_02.44.33   )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-20 16:24 . 2011-01-20 16:24	12288              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Web_default.master.cdcab7d2.zwwjjf81.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24	13312              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_Code.xut9q229.dll
+ 2011-01-20 16:24 . 2011-01-20 16:24	6656              c:\windows\Microsoft.NET\Framework\v2.0.50727\Temporary ASP.NET Files\website1\ba49ab1d\9c3f7c89\App_global.asax.qhpnw_qa.dll
+ 2008-12-07 19:02 . 2011-01-20 15:42	6583840              c:\windows\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PhotoShow Deluxe Media Manager"="c:\progra~1\Nero\data\Xtras\mssysmgr.exe" [2005-02-26 212992]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 90112]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"QuickTime Task"="g:\quicktime\qttask.exe" [2007-01-31 77824]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-11-29 136600]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-09-05 208616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-04-03 13670504]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-04-03 110696]
"Adobe Reader Speed Launcher"="f:\software\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"e:\\Games\\Atari\\ACTOFWAR.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 18:29 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.04.2008 18:06 24592]
S3 o1394bul;o1394bul;\??\c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys --> c:\dokume~1\***\LOKALE~1\Temp\o1394bul.sys [?]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\c:\windows\system32\PLCMPR5.SYS --> c:\windows\system32\PLCMPR5.SYS [?]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;h:\visual-studio-2005\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09.12.2005 09:40 2799808]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-RGSC - e:\games\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe
AddRemove-NVIDIA Display Control Panel - c:\programme\NVIDIA Corporation\Uninstall\nvuninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-01-20 17:19
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1993962763-2052111302-839522115-1003\Software\SecuROM\License information*]
"datasecu"=hex:ba,12,cd,bd,b5,f6,85,0f,8c,5e,f2,da,72,51,0c,e9,6f,2a,09,e2,25,
   54,cb,c6,e6,aa,40,35,58,87,57,c1,30,88,a6,3d,a7,c4,61,df,19,c0,f9,91,74,52,\
"rkeysecu"=hex:21,99,a7,cd,5a,e1,35,33,39,55,e8,2f,45,6f,1f,35
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(3748)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2011-01-20  18:26:50
ComboFix-quarantined-files.txt  2011-01-20 17:20

Vor Suchlauf: 13 Verzeichnis(se), 36'840'329'216 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 36'818'874'368 Bytes frei

- - End Of File - - 020A38C6968505348B965185AD23A323[/HTML]

--- --- ---

HTML-Code:

2011-01-20 19:22:29 . 2011-01-20 19:22:29            1,198 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\AddRemove-NVIDIA Display Control Panel.reg.dat
2011-01-20 19:22:18 . 2011-01-20 19:22:18              660 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\MSConfigStartUp-RGSC.reg.dat
2011-01-20 19:22:08 . 2011-01-20 19:22:08              113 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-nwiz.reg.dat
2011-01-20 19:16:06 . 2011-01-20 17:18:37            6,399 ----a-w-  C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-01-20 19:12:09 . 2011-01-20 17:16:34              153 ----a-w-  C:\Qoobox\Quarantine\catchme.log

markusg · 21.01.2011, 13:21

welcher pc, der an dem wir grad arbeiten.

lemor · 21.01.2011, 16:11

moinsen,
richtig, die aktiven sessions bestanden zu diesem rechner. habe die tools auf allen pc's ausgeführt und dies war ebenfalls der einzige rechner auf dem was gefunden wurde.

ich habe mir jetzt schonmal einen neuen router besorgt, aber so wie es ausschaut ist der auch ziemlich beschränkt.

markusg · 21.01.2011, 16:22

poste einen GMER report bitte:
http://www.trojaner-board.de/74908-a...t-scanner.html

lemor · 21.01.2011, 17:21

werde ich machen, sobald ich zuhause bin, das wird noch etwas dauern, muss bis 8 uhr arbeiten.

markusg · 21.01.2011, 18:06

keine eile, und mein beileid

lemor · 22.01.2011, 11:30

ging doch noch etwas länger, war um 10 uhr noch immer im büro dafür gab es wenigstens noch ein feierabend bier

GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-01-22 01:26:16
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 WDC_WD1600JB-55GVC0 rev.08.02D08
Running: lb2xnefp.exe; Driver: C:\DOKUME~1\***\LOKALE~1\Temp\kgtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwAdjustPrivilegesToken [0xB321CA72]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwClose [0xB321D01E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwConnectPort [0xB321EA82]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateFile [0xB321E438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateKey [0xB321C1E8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateSymbolicLinkObject [0xB32203E4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwCreateThread [0xB321CE1A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteKey [0xB321C62A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeleteValueKey [0xB321C82A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDeviceIoControlFile [0xB321E744]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwDuplicateObject [0xB32208F0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateKey [0xB321C940]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwEnumerateValueKey [0xB321C9A8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwFsControlFile [0xB321E5FA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwLoadDriver [0xB321FEA8]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenFile [0xB321E294]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenKey [0xB321C34A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenProcess [0xB321CC40]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenSection [0xB322040E]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwOpenThread [0xB321CB96]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryKey [0xB321CA10]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryMultipleValueKey [0xB321C714]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueryValueKey [0xB321C4F2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwQueueApcThread [0xB3220110]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwReplaceKey [0xB321BE6A]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRequestWaitReplyPort [0xB321F30C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwRestoreKey [0xB321BFCC]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwResumeThread [0xB32207C0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSaveKey [0xB321BC68]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSecureConnectPort [0xB321E924]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetContextThread [0xB321CF18]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSecurityObject [0xB321FFA2]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetSystemInformation [0xB3220438]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSetValueKey [0xB321C3A0]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendProcess [0xB322051C]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSuspendThread [0xB3220648]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwSystemDebugControl [0xB321FDD4]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwTerminateProcess [0xB321CCEA]
SSDT            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  ZwWriteVirtualMemory [0xB321CD5C]

Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  FsRtlCheckLockForReadAccess
Code            \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)                  IoIsOperationSynchronous

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!FsRtlCheckLockForReadAccess                                                             804E9FA0 5 Bytes  JMP B32331E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!IoIsOperationSynchronous                                                                804EE87E 5 Bytes  JMP B32335A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab)
.text           ntkrnlpa.exe!ZwCallbackReturn + 23E0                                                                 80501C18 4 Bytes  JMP 0E10B321 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2408                                                                 80501C40 4 Bytes  CALL 8B033E06 
.text           ntkrnlpa.exe!ZwCallbackReturn + 26AC                                                                 80501EE4 4 Bytes  JMP 4C4CD20A 
.text           ntkrnlpa.exe!ZwCallbackReturn + 2758                                                                 80501F90 12 Bytes  [1C, 05, 22, B3, 48, 06, 22, ...]
.text           ntkrnlpa.exe!ZwCallbackReturn + 2768                                                                 80501FA0 4 Bytes  JMP B2B321CC 
.text           C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                             section is writeable [0xB5FD9380, 0x566445, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                               section is writeable [0xB2845300, 0x22020, 0xE8000020]
.text           C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                               section is writeable [0xB8368300, 0x1B7E, 0xE8000020]
init            C:\WINDOWS\System32\atkosdmini.dll                                                                   entry point in "init" section [0xBD04A480]

---- User code sections - GMER 1.0.15 ----

?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[804] C:\WINDOWS\system32\kernel32.dll   time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[804] USER32.dll!AlignRects + FFFA5598   7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }
?               C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1960] C:\WINDOWS\system32\kernel32.dll  time/date stamp mismatch; 
.text           C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe[1960] USER32.dll!AlignRects + FFFA5598  7E362A78 4 Bytes  [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD }

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
IAT             \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject]                              [B78F1820] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                             kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                            kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                          kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

---- EOF - GMER 1.0.15 ----

--- --- ---

markusg · 22.01.2011, 11:31

mach mal nen upgrade auf kaspersky 2011 sollte kostenlos gehen und scanne dann mal.

lemor · 22.01.2011, 18:26

das hat geklappt. der scan läuft, poste dann das logfile.

ich bekamm heute noch eine komische meldung, hab sie als jpeg angehängt.

kannst du schon was sagen über die art der infektion?

20.01.2011, 15:04	#2
markusg /// Malware-holic	mehrere infektionen, kaum symptome was ist denn das problem mit dem pc, außer natürlich das offensichtliche was ich im Malwarebytes log gesehen hab. hast du bereits andere programme, wie kaspersky genutzt, was wurde wo gefunden? __________________ __________________

20.01.2011, 16:37	#6
markusg /// Malware-holic	mehrere infektionen, kaum symptome wie viele pcs sind denn in dem netzwerk? zu welchen ips wird verbunden kannst du das log auszugsweise posten? bzw kannst du ja dann evtl. auch prüfen von welchem pc dieser versuch ausgeht, anhand der ip __________________ --> mehrere infektionen, kaum symptome

21.01.2011, 13:21	#8
markusg /// Malware-holic	mehrere infektionen, kaum symptome welcher pc, der an dem wir grad arbeiten. __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

21.01.2011, 18:06	#12
markusg /// Malware-holic	mehrere infektionen, kaum symptome keine eile, und mein beileid __________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet

mehrere infektionen, kaum symptome

Log-Analyse und Auswertung: mehrere infektionen, kaum symptome