Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kann nur noch im abgesicerten Modus starten (https://www.trojaner-board.de/71149-nur-noch-abgesicerten-modus-starten.html)

chris199 18.03.2009 19:10
Hallo,

er arbeitet noch, bisher hat er aber noch gar nicht so viel gefunden, das Log ist noch nicht so lang.

Ich habe alles angeklickt, deshalb braucht er scheinbar so lange, zur Zeit ist er bei den Files.

Christian

Redwulf 18.03.2009 20:32
kein Problem...

chris199 18.03.2009 20:38
Hallo,

er ist endlich fertig.
Anbei das Log als Datei. Christian

chris199 18.03.2009 20:46
Teil I
Code:
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 20:30:45
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

INT 0x06        \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A7EF016D
INT 0x0E        \??\C:\WINDOWS\system32\drivers\Haspnt.sys (HASP Kernel Device Driver for Windows NT/Aladdin Knowledge Systems)  A7EEFFC2

Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwCreateFile [0xA84849CA]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwCreateKey [0xA8484A61]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwCreateProcess [0xA8484978]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwCreateProcessEx [0xA848498C]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwDeleteKey [0xA8484A75]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwDeleteValueKey [0xA8484AA1]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwEnumerateKey [0xA8484B17]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwEnumerateValueKey [0xA8484AFC]
Code            8ADBB978                                                                                                        ZwFlushInstructionCache
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwMapViewOfSection [0xA8484A0A]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwNotifyChangeKey [0xA8484B41]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwOpenKey [0xA8484A4D]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwOpenProcess [0xA8484950]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwOpenThread [0xA8484964]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwProtectVirtualMemory [0xA84849DE]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwQueryKey [0xA8484B7D]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwQueryMultipleValueKey [0xA8484AE6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwQueryValueKey [0xA8484AD2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwRenameKey [0xA8484A8B]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwReplaceKey [0xA8484B69]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwRestoreKey [0xA8484B55]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwSetContextThread [0xA84849B6]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwSetInformationProcess [0xA84849A2]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwSetValueKey [0xA8484AB7]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwTerminateProcess [0xA8484A39]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwUnloadKey [0xA8484B2B]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwUnmapViewOfSection [0xA8484A20]
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    ZwYieldExecution [0xA84849F4]
Code            8ADB48B6                                                                                                        IofCallDriver
Code            8ADB200E                                                                                                        IofCompleteRequest
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    NtCreateFile
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    NtMapViewOfSection
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    NtOpenProcess
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    NtOpenThread
Code            \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)                    NtSetInformationProcess

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!IofCallDriver                                                                                      804EF1A6 5 Bytes  JMP 8ADB48BB
.text          ntkrnlpa.exe!IofCompleteRequest                                                                                  804EF236 5 Bytes  JMP 8ADB2013
.text          ntkrnlpa.exe!ZwYieldExecution                                                                                    80504AE8 7 Bytes  JMP A84849F8 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtCreateFile                                                                                        80579084 5 Bytes  JMP A84849CE \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtMapViewOfSection                                                                                  805B2006 7 Bytes  JMP A8484A0E \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnmapViewOfSection                                                                                805B2E14 5 Bytes  JMP A8484A24 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                            805B6812 5 Bytes  JMP 8ADBB97C
PAGE            ntkrnlpa.exe!ZwProtectVirtualMemory                                                                              805B83E6 7 Bytes  JMP A84849E2 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                                      805CB408 5 Bytes  JMP A8484954 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtOpenThread                                                                                        805CB694 5 Bytes  JMP A8484968 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!NtSetInformationProcess                                                                            805CDE52 5 Bytes  JMP A84849A6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcessEx                                                                                  805D1142 7 Bytes  JMP A8484990 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateProcess                                                                                    805D11F8 5 Bytes  JMP A848497C \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetContextThread                                                                                  805D1702 5 Bytes  JMP A84849BA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwTerminateProcess                                                                                  805D29AA 5 Bytes  JMP A8484A3D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                    806219CA 5 Bytes  JMP A8484AD6 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwSetValueKey                                                                                      80621D18 7 Bytes  JMP A8484ABB \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwUnloadKey                                                                                        80622042 7 Bytes  JMP A8484B2F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryMultipleValueKey                                                                            806228E0 7 Bytes  JMP A8484AEA \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwRenameKey                                                                                        806231B4 7 Bytes  JMP A8484A8F \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwCreateKey                                                                                        80623792 5 Bytes  JMP A8484A65 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwDeleteKey                                                                                        80623C22 7 Bytes  JMP A8484A79 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwDeleteValueKey                                                                                    80623DF2 7 Bytes  JMP A8484AA5 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                      80623FD2 5 Bytes  JMP A8484B1B \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwEnumerateValueKey                                                                                8062423C 7 Bytes  JMP A8484B00 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwOpenKey                                                                                          80624B64 5 Bytes  JMP A8484A51 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwQueryKey                                                                                          80624E8A 7 Bytes  JMP A8484B81 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwRestoreKey                                                                                        8062514A 5 Bytes  JMP A8484B59 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwReplaceKey                                                                                        8062583E 5 Bytes  JMP A8484B6D \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
PAGE            ntkrnlpa.exe!ZwNotifyChangeKey                                                                                  80625958 5 Bytes  JMP A8484B45 \SystemRoot\system32\drivers\mfehidk.sys (Host Intrusion Detection Link Driver/McAfee, Inc.)
.reloc          C:\WINDOWS\system32\ntkrnlpa.exe

chris199 18.03.2009 20:48
Teil II

[CODE][---- User code sections - GMER 1.0.15 ----

.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[416] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 0041BF60 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe[416] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 0041BFE0 c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe (McAfee Proxy Service Module/McAfee, Inc.)
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 00D10000
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00D10084
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00D10F8F
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 00D10069
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00D10058
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00D10FC0
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00D100A6
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00D10F6A
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00D100E6
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00D10F4D
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00D10F3C
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00D10047
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00D10FE5
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00D10095
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00D10036
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00D1001B
.text C:\WINDOWS\system32\svchost.exe[772] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00D100CB
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 00D00025
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00D00F97
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00D00FD4
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 00D00FE5
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00D00FA8
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00D00000
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyW 77DCBA25 5 Bytes JMP 00D00040
.text C:\WINDOWS\system32\svchost.exe[772] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00D00FC3
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00CF003D
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00CF0022
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 00CF0FC3
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00CF0FEF
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00CF0FB2
.text C:\WINDOWS\system32\svchost.exe[772] msvcrt.dll!_wopen 77C00055 5 Bytes JMP 00CF0FDE
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateFileA 7C801A28 5 Bytes JMP 0007000A
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!VirtualProtectEx 7C801A61 5 Bytes JMP 00070F70
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!VirtualProtect 7C801AD4 5 Bytes JMP 00070F81
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 0007005B
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryExA 7C801D53 5 Bytes JMP 00070F9E
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryA 7C801D7B 5 Bytes JMP 00070FD4
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetStartupInfoW 7C801E54 5 Bytes JMP 00070F27
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetStartupInfoA 7C801EF2 5 Bytes JMP 00070F38
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 00070ECC
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateProcessA 7C80236B 5 Bytes JMP 00070EF1
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!GetProcAddress 7C80AE30 5 Bytes JMP 00070EBB
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!LoadLibraryW 7C80AEDB 5 Bytes JMP 00070FB9
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateFileW 7C8107F0 5 Bytes JMP 00070FEF
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreatePipe 7C81D827 5 Bytes JMP 00070F55
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateNamedPipeW 7C82F0C5 5 Bytes JMP 00070040
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!CreateNamedPipeA 7C860B7C 5 Bytes JMP 00070025
.text C:\WINDOWS\system32\services.exe[1048] kernel32.dll!WinExec 7C8623AD 5 Bytes JMP 00070F0C
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyExW 77DA6A9F 5 Bytes JMP 0006001B
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyExW 77DA775C 5 Bytes JMP 00060F72
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyExA 77DA7842 5 Bytes JMP 00060FD4
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyW 77DA7936 5 Bytes JMP 0006000A
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyExA 77DAE9E4 5 Bytes JMP 00060F83
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegOpenKeyA 77DAEFB8 5 Bytes JMP 00060FE5
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyW 77DCBA25 2 Bytes JMP 00060F9E
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyW + 3 77DCBA28 2 Bytes [29, 88]
.text C:\WINDOWS\system32\services.exe[1048] ADVAPI32.dll!RegCreateKeyA 77DCBCC3 5 Bytes JMP 00060FAF
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wsystem 77BF931E 5 Bytes JMP 00050042
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!system 77BF93C7 5 Bytes JMP 00050FB7
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_creat 77BFD40F 5 Bytes JMP 0005000C
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_open 77BFF566 5 Bytes JMP 00050FEF
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wcreat 77BFFC9B 5 Bytes JMP 00050027
.text C:\WINDOWS\system32\services.exe[1048] msvcrt.dll!_wopen /CODE]

Redwulf 18.03.2009 21:48
Wenn es funktioniert, dann bitte ausführen und die Logfile posten bzw. bei - Ihr kostenloser File Hoster! uploaden und Link posten.

chris199 18.03.2009 21:51
Hallo,

anbei ein Link:

http://www.file-upload.net/download-1535624/gmer.txt.log.html

Gib bitte Bescheid ob die Datei lesbar ist.

Danke Christian

Redwulf 18.03.2009 22:14
Zitat:
Zitat von chris199 (Beitrag 422396)
Hallo,

anbei ein Link:

http://www.file-upload.net/download-1535624/gmer.txt.log.html

Gib bitte Bescheid ob die Datei lesbar ist.

Danke Christian
Nöö, geht nicht..hier die Fehlermeldung

Warning: mysql_connect() [function.mysql-connect]: Lost connection to MySQL server at 'reading authorization packet', system error: 0 in /home/www/www12/html/con.inc.php on line 7
Lost connection to MySQL server at 'reading authorization packet', system error: 0


Speicher das log einfach als Text datei ab [Gmer.txt] und lad sie nochmal hoch.......

Redwulf 18.03.2009 22:25
Ok ich sehs jetzt......danke myrtille

Chris lad schon mal den Avenger.....komme gleich wieder, muss was basteln


Edit:
Habs identifiziert...bin grad am Script für Avenger

Redwulf 18.03.2009 22:41
So nun kanns losgehen:

Lade nun Avenger und kopiere den text der Codebox in das Scriptfeld des Avenger. Achte darauf das zwischen den Buchstaben keine Lücke entsteht, dass passiert manchmal bei kopieren und einfügen von texten aus einer Codebox. es muss nachher genauso wie in der Codebox dort stehen....

Code:
Drivers to delete:
gaopdxserv.sys

Files to delete:
C:\WINDOWS\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys
C:\WINDOWS\system32\gaopdxibrqtenpofybwudgnbiwulmqbwultpwe.dll
C:\WINDOWS\system32\gaopdxcounter
Danach auf Execute. Avenger fängt an zu arbeiten und bootet dein system unter Umständen mehrmals. Das sieht wild aus, aber keine Sorge, lass Avenger machen. Zum Abschluß fährt dein system wieder hoch.Das Logfile findest du unter C:\avenger.txt
Poste das bitte hier

Hiernach sollte es deinem System merklich besser gehen. Mache nun deine MalwareBytes und McAffee updates. es kann auch sein, dass dein AV bereits jetzt Viren anzeigt...lass sie löschen.
Weiteres nach dem Avenger Logfile

Redwulf 19.03.2009 00:59
Zitat:
Zitat von Redwulf (Beitrag 422417)
Hiernach sollte es deinem System merklich besser gehen.
Damit kein Missverständnis aufkommt, wir sind damit noch nicht am Ende...

chris199 19.03.2009 10:54
Bin wieder da und werde mir den Avenger runterladen.

Musste mich gestern noch um die Familie kümmern.

Bin wieder im abgesicherten Modus.

Christian

Redwulf 19.03.2009 11:19
Läuft der normale Boot nicht?

chris199 19.03.2009 11:27
Hallo,

gute Nachrichten, bin seid 10 min. im Normalmodus und kann auch wieder im Normalmodus surfen. Habe endlich wieder ein normales Bild.
Im Abgesicherten Modus ist das arbeiten manchmal etwas schwer.

McAfee holt sich gerade ein Update, werde gleich einen Scan durchführen, oder soll ich erst Malware durchführen??

Christian


Das Log:

Code:
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "gaopdxserv.sys" found!
ImagePath:  \systemroot\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys
Driver disabled successfully.

Rootkit scan completed.

Driver "gaopdxserv.sys" deleted successfully.
File "C:\WINDOWS\system32\drivers\gaopdxbgijxmpjwsrsipxfmqpfuwyksdpqquba.sys" deleted successfully.
File "C:\WINDOWS\system32\gaopdxibrqtenpofybwudgnbiwulmqbwultpwe.dll" deleted successfully.
File "C:\WINDOWS\system32\gaopdxcounter" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

chris199 19.03.2009 11:30
Nebenbei noch eine andere Frage:

Immer wieder kommt die folgende Fehlermeldung, auch vorher schon, ich glaube die hängt mit DELL zusammen, habe sie aber bis dato nicht abstellen können:

"dsca.exe Fehler in Anwendung"

Eine Idee was ich dagegen machen kann, wenn das Hauptproblem bereinigt ist, oder muss ich da Dell fragen?

Christian


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:15 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131