Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Verdächtige Hooks in diversen Dateien laut GMER (https://www.trojaner-board.de/136359-verdaechtige-hooks-diversen-dateien-laut-gmer.html)

boogiee 10.06.2013 23:39
Verdächtige Hooks in diversen Dateien laut GMER
 
Liebe Community,

ich habe heute einen Scan mit Gmer durchgeführt und die Auswertung ist wie folgt:

PHP-Code:
GMER 2.1.19163 hxxp://www.gmer.net
Rootkit scan 2013-06-10 23:58:32
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-****************** rev.**** 931,51GB
Runninggmer.exeDriverC:\Users\*****\AppData\Local\Temp\pgtdqpow.sys


---- Kernel code sections GMER 2.1 ----

.text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [8093F3FF019DF0]
.text  C:\Windows\System32\win32k.sys!W32pServiceTable 8                                                                                      fffff96000124008 3 bytes [C00602]

---- User code sections GMER 2.1 ----

.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 69   00000000764c1465 2 bytes [4C76]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 155  00000000764c14bb 2 bytes [4C76]
.text  ...                                                                                                                                      * 2

---- EOF GMER 2.1 ---- 
Tools wie tdsskiller und etwaige bekannte Analysetools konnten nichts finden.
Das Einzige, was mit in der Vergangenheit aufgrund zahlreicher dubioser Vorfälle im Internet aufgefallen ist, ist,
dass ich nach Aktivierung der Routing logging Funktionalität in der Fritzbox und nach nachfolgender Analyse der Loggings mit Wireshark äußerst merkwürde ICMP-Trackings einsehen konnte.

Erstere IP ist die Meine, die Zweite eine Italienische, welche ich überhaupt nicht angesteuert hatte:

3761021.707485188.XXX.XXX.XX188.XXX.XX.XXICMP78Destination unreachable (Communication administratively filtered)

Dasselbe Phänomen konnte ich kurz darauf mit einer französischen IP feststellen.

Kann es sein, dass ich ein Rootkit in mein System gegraben hat und ein verkappter Trojaner via ICMP Kontakt zu seinem Hirten aufnimmt ?
Was hat es mit der W32pServiceTable auf sich? Wird diese nicht besonders gerne von Rootkits kompromittiert? Ist da etwas verdächtiges dabei...?

Vielen Dank im Voraus!

Gruß, boogiee

schrauber 11.06.2013 06:14
Hi,

das ganze Log bitte :)

boogiee 11.06.2013 12:42
Code:
No. Time Source Destination Protocol Length Info
375 1021.707264 188.XXX.XX.XXX 188.174.110.36 TCP 82 nm-assessor > telnet Frame 375: 82 bytes on wire (656 bits), 82 bytes captured (656 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017680000 Mitteleuropäische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017680000 seconds
[Time delta from previous captured frame: 0.365613000 seconds]
[Time delta from previous displayed frame: 0.365613000 seconds]
[Time since reference or first frame: 1021.707264000 seconds]
Frame Number: 375
Frame Length: 82 bytes (656 bits)
Capture Length: 82 bytes (656 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:tcp]
[Coloring Rule Name: TCP SYN/FIN]
[Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1]
Ethernet II, Src: Unispher_43:14:97 (00:90:1a:43:14:97), Dst: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Destination: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 62
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 60
Identification: 0xe688 (59016)
Flags: 0x02 (Don't Fragment)
0... .... = Reserved bit: Not set
.1.. .... = Don't fragment: Set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 52
Protocol: TCP (6)
Header checksum: 0x28b9 [correct]
[Good: True]
[Bad: False]
Source: 188.153.XX.XXX (188.153.XX.XXX)
Destination: 188.174.110.36 (188.174.110.36)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Transmission Control Protocol, Src Port: nm-assessor (3151), Dst Port: telnet (23), Seq: 0, Len: 0
Source port: nm-assessor (3151)
Destination port: telnet (23)
[Stream index: 22]
Sequence number: 0 (relative sequence number)
Header length: 40 bytes
Flags: 0x002 (SYN)
000. .... .... = Reserved: Not set
...0 .... .... = Nonce: Not set
.... 0... .... = Congestion Window Reduced (CWR): Not set
.... .0.. .... = ECN-Echo: Not set
.... ..0. .... = Urgent: Not set
.... ...0 .... = Acknowledgment: Not set
.... .... 0... = Push: Not set
.... .... .0.. = Reset: Not set
.... .... ..1. = Syn: Set
[Expert Info (Chat/Sequence): Connection establish request (SYN): server port telnet]
[Message: Connection establish request (SYN): server port telnet]
[Severity level: Chat]
[Group: Sequence]
.... .... ...0 = Fin: Not set
Window size value: 5808
[Calculated window size: 5808]
Checksum: 0x25dd [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window Maximum segment size: 1452 bytes
Kind: MSS size (2)
Length: 4
MSS Value: 1452
TCP SACK Permitted Option: True
Kind: SACK Permission (4)
Length: 2
Timestamps: TSval 835833, TSecr 0
Kind: Timestamp (8)
Length: 10
Timestamp value: 835833
Timestamp echo reply: 0
No-Operation (NOP)
Type: 1
0... .... = Copy on fragmentation: No
.00. .... = Class: Control (0)
...0 0001 = Number: No-Operation (NOP) (1)
Window scale: 0 (multiply by 1)
Kind: Window Scale (3)
Length: 3
Shift count: 0
[Multiplier: 1]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

No. Time Source Destination Protocol Length Info
376 1021.707485 188.174.110.36 188.153.XX.XXX ICMP 78 Destination unreachable Frame 376: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017901000 Mitteleuropäische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017901000 seconds
[Time delta from previous captured frame: 0.000221000 seconds]
[Time delta from previous displayed frame: 0.000221000 seconds]
[Time since reference or first frame: 1021.707485000 seconds]
Frame Number: 376
Frame Length: 78 bytes (624 bits)
Capture Length: 78 bytes (624 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:icmp:ip:tcp]
[Coloring Rule Name: ICMP errors]
[Coloring Rule String: icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || Ethernet II, Src: Avm_83:0f:b2 (c0:25:06:83:0f:b2), Dst: Unispher_43:14:97 (00:90:1a:43:14:97)
Destination: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 58
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.174.110.36 (188.174.110.36), Dst: 188.153.XX.XXX (188.153.XX.XXX)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN: 0x00: Not-ECT (Not ECN-Capable 1100 00.. = Differentiated Services Codepoint: Class Selector 6 (0x30)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 56
Identification: 0xe688 (59016)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: ICMP (1)
Header checksum: 0x5c02 [correct]
[Good: True]
[Bad: False]
Source: 188.174.110.36 (188.174.110.36)
Destination: 188.153.XX.XXX (188.153.XX.XXX)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 13 (Communication administratively filtered)
Checksum: 0xe9f0 [correct]
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes

schrauber 11.06.2013 13:09
Sorry, ich meinte das Gmer Log :)

boogiee 11.06.2013 13:22
Das ist das vollständige GMER Log. :)

schrauber 11.06.2013 13:24
Also, ich hab gefühlte 100 Millionen Gmer Logs gesehen, aber noch NIE so was :)

Du hast doch oben ein Teilstück gepostet, oder war das das komplette Log?

GMER Logfile:
Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-06-10 23:58:32
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 ****************** rev.**** 931,51GB
Running: gmer.exe; Driver: C:\Users\*****\AppData\Local\Temp\pgtdqpow.sys


---- Kernel code sections - GMER 2.1 ----

.text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [80, 93, F3, FF, 01, 9D, F0]
.text  C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                      fffff96000124008 3 bytes [C0, 06, 02]

---- User code sections - GMER 2.1 ----

.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69  00000000764c1465 2 bytes [4C, 76]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000764c14bb 2 bytes [4C, 76]
.text  ...                                                                                                                                      * 2

---- EOF - GMER 2.1 ---- [/QUOTE]
--- --- ---

boogiee 11.06.2013 13:41
Joa, Gmer mit Standardkonfiguration (Quickscan).

Edit:
Könnte es nicht auch ein Rootkit geben, welches in der Lage ist, GMER zu überlisten?

Hallo Schrauber,

Ich habe keinen Telnet-Befehl gesendet wie aus der Log von Wireshark hervorgeht.
Das muss doch ein programm im Hintergrund gemacht haben.

PHP-Code:
Transmission Control ProtocolSrc Portnm-assessor (3151), Dst Porttelnet (23), Seq0Len0
Source portnm-assessor (3151)
Destination porttelnet (23

schrauber 11.06.2013 15:36
Haste ne DVD von Windows zur Hand? Dann scannen wir einmal von aussen. Nen besseren Scan gibt es nicht. Aber ich sag Dir schon jetzt: ich tippe, das Gerät ist sauber.

boogiee 11.06.2013 16:17
Habe eine DVD hier - für was wird diese von dir benötigt?

Gruß, boogiee

schrauber 11.06.2013 19:22
[indent]
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

boogiee 12.06.2013 21:26
Hallo Schrauber,

danke für dein Engagement.
Ich habe die Analyse mit dem frst64 ausgeführt. Ist es nicht ein wenig riskant, mein System hier offenzulegen? :confused:

Gruß, boogiee

schrauber 13.06.2013 07:38
Nö, wieso? Da steht nix drin was gegen Dich verwendet werden kann. Ausser ich finde Cracks ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55