|
Gen:Variant.Graftor.7553 Hallo, auf meinem Rechner befindet sich die Datei cltLMSx.dll. Die ist bei einem Scan mit der Desinfect CD von der ct (09/2012) auffällig geworden. Ich habe die Datei bei virustotal und Jotti checken lassen. Bei Virustotal sagen 3 von 42 Virenscannern es handele sich um die Schadsoftware Gen:Variant.Graftor.7553. Auch bei Jotti sagen 3 von 20 Virenscannern, dass es sich um ein Problem handelt. Dies sind Bitdefener, F-Secure und GData. Heißt das jetzt, dass ich einen Virus habe oder besteht die Hoffung, dass es sich um einen "Fehlalarm" handelt, da die meisten Virenprogramme kein Problem in der Datei feststellen? Wenn ich einen Virus habe muss ich dann das System neu aufsetzen oder kann ich ihn irgendwie entfernen? Vielen Dank für die Hilfe, Eva Anbei DDS.txt, attach.txt (s.u.) und hier Das Gmer-Ergebnis: GMER 1.0.15.15641 - hxxp://www.gmer.net Rootkit scan 2012-04-13 20:13:35 Windows 6.1.7601 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 WDC_WD32 rev.14.0 Running: 6rthpdst.exe; Driver: C:\Users\Karla\AppData\Local\Temp\kglcqpoc.sys ---- System - GMER 1.0.15 ---- SSDT 87333080 ZwAlertResumeThread SSDT 86588C80 ZwAlertThread SSDT 872723F8 ZwAllocateVirtualMemory SSDT 86AEF268 ZwAlpcConnectPort SSDT 86BAE668 ZwAssignProcessToJobObject SSDT 872F8E98 ZwCreateMutant SSDT 87327CC8 ZwCreateSymbolicLinkObject SSDT 87335190 ZwCreateThread SSDT 873341A0 ZwCreateThreadEx SSDT 86BAE768 ZwDebugActiveProcess SSDT 87272550 ZwDuplicateObject SSDT 873049F0 ZwFreeVirtualMemory SSDT 87325B98 ZwImpersonateAnonymousToken SSDT 87333048 ZwImpersonateThread SSDT 86772A48 ZwLoadDriver SSDT 873031A0 ZwMapViewOfSection SSDT 872F8DD8 ZwOpenEvent SSDT 873252A8 ZwOpenProcess SSDT 86B41CF0 ZwOpenProcessToken SSDT 87321E88 ZwOpenSection SSDT 87326EF0 ZwOpenThread SSDT 873342A0 ZwProtectVirtualMemory SSDT 872D1D60 ZwResumeThread SSDT 87333120 ZwSetContextThread SSDT 8732AAE8 ZwSetInformationProcess SSDT 86BAE828 ZwSetSystemInformation SSDT 87321F48 ZwSuspendProcess SSDT 87303D60 ZwSuspendThread SSDT 873043F8 ZwTerminateProcess SSDT 87326DB0 ZwTerminateThread SSDT 87335900 ZwUnmapViewOfSection SSDT 87326EA8 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!ZwSaveKey + 13C1 82E75359 1 Byte [06] .text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82EAED52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3} .text ntkrnlpa.exe!KeRemoveQueueEx + 10DB 82EB5DB0 8 Bytes [80, 30, 33, 87, 80, 8C, 58, ...] .text ntkrnlpa.exe!KeRemoveQueueEx + 10F3 82EB5DC8 4 Bytes [F8, 23, 27, 87] .text ntkrnlpa.exe!KeRemoveQueueEx + 10FF 82EB5DD4 4 Bytes [68, F2, AE, 86] .text ntkrnlpa.exe!KeRemoveQueueEx + 1153 82EB5E28 4 Bytes [68, E6, BA, 86] .text ntkrnlpa.exe!KeRemoveQueueEx + 11CF 82EB5EA4 4 Bytes [98, 8E, 2F, 87] .text ... .text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x91E3E000, 0x353037, 0xE8000020] ? C:\Users\Karla\AppData\Local\Temp\mbr.sys Das System kann die angegebene Datei nicht finden. ! ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Kernelmodustreiber-Frameworklaufzeit/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\001f3ad3f68b Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80 Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80@e4ec10816099 0xDF 0xCF 0xEC 0x30 ... Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\904ce5dacb80@00027625d8f0 0xE6 0x69 0xCB 0xD5 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\001f3ad3f68b (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80@e4ec10816099 0xDF 0xCF 0xEC 0x30 ... Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\904ce5dacb80@00027625d8f0 0xE6 0x69 0xCB 0xD5 ... ---- Files - GMER 1.0.15 ---- File C:\Windows\assembly\NativeImages_v2.0.50727_32\index904.dat 0 bytes File C:\Windows\assembly\NativeImages_v2.0.50727_32\index905.dat 0 bytes File C:\Windows\assembly\NativeImages_v2.0.50727_32\Temp\ZAP149.tmp 0 bytes ---- EOF - GMER 1.0.15 ---- |
hi, lad die dll mal hoch: Trojaner-Board Upload Channel danach: Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: activex
|
hier kommen OTL.txt und Extra.txt |
hab noch mal sicherheitshalber nachgefragt und kann dir daher noch kein ergebniss liefern, die dll sollte aber sauber sein, die ist digital signiert. ergebniss kommt aber noch |
danke für´s kümmern! zur Ergänzung: diese dll wurde zuerst unter: C:Programme..Norton... gefungen. Linuxmäßig gelöscht befindet sie sich jetzt unter: C: .Trash-999. |
jo, ist ja auch bestandteil von norton software, zumindest laut zertifikat. |
Ich geh mal davon aus, dass es ein Fehlalarm war und lösche den Trash 999-Ordner. Oder? Vielen Dank und liebe Grüße, Eva |
hatte da keine antwort bekommen, sorry. aber ich bin sehr sicher das das nen fp ist |
was heisst fp? |
false positive (fehlalarm) |
|
das gleiche :-) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board