Trojaner-Board - GMER zeigt Rootkit, Laptop läuft ohne Programme auf 100%, nicht auszuschalten ...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - GMER zeigt Rootkit, Laptop läuft ohne Programme auf 100%, nicht auszuschalten ... (https://www.trojaner-board.de/80640-gmer-zeigt-rootkit-laptop-laeuft-ohne-programme-100-auszuschalten.html)

GMER zeigt Rootkit, Laptop läuft ohne Programme auf 100%, nicht auszuschalten ...

Zunächst mal Herzlichen Dank für die Möglichkeit, das hier einzustellen:

Programme laufen zunächst immer langsamer, Lüfter aber volle Kanne und das Ding lässt sich manchmal nicht mehr ausschalten - so, als ob noch jemand anders damit arbeiten würde. Antivir und Spybot negativ, in der Ereignisanzeige dauert es Minuten, bis die Einträge mal sortiert sind. Häufigster dort: irgendwas mit CAPI 11 und 12, über das MS selber nicht genau bescheid weiß.

GMER zeigt an:

[Code/]
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-22 12:26:46
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys

---- System - GMER 1.0.15 ----

SSDT 950B3C9C ZwCreateThread
SSDT 950B3C88 ZwOpenProcess
SSDT 950B3C8D ZwOpenThread
SSDT 950B3C97 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}
.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}
.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]
.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)

---- EOF - GMER 1.0.15 ----

Ist da was dran? Nach 90 Min. googlen könnte es sein oder auch nicht:confused:

Wäre nett, wenn jemand sich der Frage annehmen könnte.

VG Monogram

PS. Vista-CD etc. ist hier nirgends.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hi, vielen Dank erstmal für die Hinweise. Die habe ich partiell schon vorher abgearbeitet. Avira, Spybot, CCCleaner negativ. Die Logs von Malwarebytes und RSIT stehen hier: http://www.file-upload.net/download-...Laura.zip.html. Hauptproblem ist, dass das Ding manchmal so langsam ist, dass es nicht mal seine eigene Ereignisanzeige sortieren kann - manchmal läufts auch einigermassen, aber irgendwie bleibt der Eindruck fremder Aktivität. Vielen Dank und Viele Grüße Monogram

Zitat:

O4 - Global Startup: z1info.exe

Bitte die Datei z1info ausfindig machen (wahrscheinlich liegt sie hier => C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\z1info.exe) und bei Virustotal.com auswerten lassen. Bitte den Ergebnislink posten.

z1info ist nur das residuum einer abrechnungssoftware - demo. Wenn die das ist, wärs ein Brüller. Ansonsten mache ich es gleich. Danke Monogram

Ergebnis 0/41. Die hätte man aber längst mal löschen können :dummguck:

Code:

 Datei z1info.exe empfangen 2009.12.23 12:14:26 (UTC)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/41 (0%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 1.

Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

a-squared        4.5.0.43        2009.12.23        -

AhnLab-V3        5.0.0.2        2009.12.23        -

AntiVir        7.9.1.122        2009.12.23        -

Antiy-AVL        2.0.3.7        2009.12.23        -

Authentium        5.2.0.5        2009.12.23        -

Avast        4.8.1351.0        2009.12.23        -

AVG        8.5.0.430        2009.12.23        -

BitDefender        7.2        2009.12.23        -

CAT-QuickHeal        10.00        2009.12.23        -

ClamAV        0.94.1        2009.12.22        -

Comodo        3340        2009.12.23        -

DrWeb        5.0.1.12222        2009.12.23        -

eSafe        7.0.17.0        2009.12.22        -

eTrust-Vet        35.1.7193        2009.12.23        -

F-Prot        4.5.1.85        2009.12.22        -

F-Secure        9.0.15370.0        2009.12.23        -

Fortinet        4.0.14.0        2009.12.22        -

GData        19        2009.12.23        -

Ikarus        T3.1.1.79.0        2009.12.23        -

Jiangmin        13.0.900        2009.12.23        -

K7AntiVirus        7.10.926        2009.12.22        -

Kaspersky        7.0.0.125        2009.12.23        -

McAfee        5840        2009.12.22        -

McAfee+Artemis        5840        2009.12.22        -

McAfee-GW-Edition        6.8.5        2009.12.23        -

Microsoft        1.5302        2009.12.23        -

NOD32        4711        2009.12.23        -

Norman        6.04.03        2009.12.23        -

nProtect        2009.1.8.0        2009.12.23        -

Panda        10.0.2.2        2009.12.15        -

PCTools        7.0.3.5        2009.12.23        -

Prevx        3.0        2009.12.23        -

Rising        22.27.02.02        2009.12.23        -

Sophos        4.49.0        2009.12.23        -

Sunbelt        3.2.1858.2        2009.12.23        -

Symantec        1.4.4.12        2009.12.23        -

TheHacker        6.5.0.3.108        2009.12.23        -

TrendMicro        9.120.0.1004        2009.12.23        -

VBA32        3.12.12.0        2009.12.23        -

ViRobot        2009.12.23.2105        2009.12.23        -

VirusBuster        5.0.21.0        2009.12.22        -

weitere Informationen

File size: 405504 bytes

MD5...: 8db8e839f205e8a538726ad2a56513fb

SHA1..: 6a0455f34a78b53ebbe6cbdd90c4c9e91c4adf47

SHA256: 44ef6d567669a4f6afa89173d73cb6f3d99df2401b6ee406feb0ce9017c973fc

ssdeep: 3072:irnXmXVo2mf7IUm5S7v1rhII9V3TPNospm9:i7efc7IUmI7v1rhII9V3zNo

spm9

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x2230

timedatestamp.....: 0x4545b635 (Mon Oct 30 08:22:13 2006)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x5a17 0x6000 6.40 75f982d7f6095d25a6ca3b36a6e880e2

.rdata 0x7000 0xd1c 0x1000 4.76 268949c4d01daebde42c3f894db95070

.data 0x8000 0x43c0 0x3000 1.11 e2aec0d9a1d3772aa21f300b4f62915a

.rsrc 0xd000 0x576c0 0x58000 4.90 6b7388fefe3aa40c421355947305e1d2
 

( 5 imports )

> KERNEL32.dll: SetFilePointer, GetLastError, GetStringTypeW, SetStdHandle, GetCPInfo, GetACP, GetOEMCP, RtlUnwind, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, LoadLibraryA, FlushFileBuffers, LCMapStringA, LCMapStringW, GetStringTypeA, MultiByteToWideChar, GetEnvironmentStrings, WriteFile, GetModuleHandleA, CloseHandle, GetProcAddress, GetCurrentProcess, ExpandEnvironmentStringsA, GetVersionExA, GetModuleFileNameA, GetEnvironmentVariableA, GetSystemInfo, HeapDestroy, FreeEnvironmentStringsW, FreeEnvironmentStringsA, HeapFree, HeapAlloc, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, VirtualAlloc, WideCharToMultiByte, HeapCreate, VirtualFree, TerminateProcess, HeapReAlloc, UnhandledExceptionFilter

> USER32.dll: LoadIconA, SendMessageA, PostQuitMessage, LoadBitmapA, BeginPaint, DrawTextA, EndPaint, InvalidateRect, DefWindowProcA, MessageBoxA, LoadCursorA, RegisterClassA, GetSystemMetrics, CreateWindowExA, ShowWindow, UpdateWindow, GetMessageA, TranslateMessage, DispatchMessageA

> GDI32.dll: SetTextColor, CreateFontIndirectA, SetBkMode, DeleteObject, SelectObject, BitBlt, CreateCompatibleDC, DeleteDC

> ADVAPI32.dll: RegCreateKeyExA, RegSetValueExA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey

> SHELL32.dll: ShellExecuteA, FindExecutableA, SHGetMalloc, SHGetSpecialFolderLocation, SHGetPathFromIDListA
 

( 0 exports )

RDS...: NSRL Reference Data Set

-

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

Lösch die Datei, wenn Du sie nicht mehr brauchst. Die steht im globalen Autostart drin.

Ist gelöscht, Performance nach Neustart unverändert ... schlecht

Kannst Du im Taskmanager oder Process Explorer nachsehen, welcher Prozess die Auslastung verursacht?

Wenn es an das Sortieren der Ereignisanzeige geht, mmc.exe. Im Task-Manager standen immer die üblichen Kandidaten, aber ich dachte eigentlich, es wäre die oberste Pflicht von Malware, da gerade nicht zu erscheinen ...:( Danke für den Hinweis auf den Process Explorer - das war wie einen alten Verwandten besuchen :)) - aber der zeigt auch nix anderes, und es erklärt nicht so ganz, warum das Ding immer volle Kanne läuft und sich nicht ausschalten lässt.

Vorsichtige Frage: War vielleicht noch was im Log? Oder könnte es auch mit diesem Ekelteil zusammenhängen, auf das MS auch keine Antwort hat: CAPI2

Die Extrahierung der Drittanbieterstammlisten aus der automatischen Aktualisierungs-CAB-Datei bei <http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab> ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.

Danke, monogram

Hinweise hab ich da so nicht gesehen. mmc.exe ist die MS-Managementkonsole, kannst Du den Prozess beenden/killen und wenn ja, geht die Last runter?

mmc.exe abschalten hält auch das Ereignis-sortieren an - Fehlanzeige, leider.

Habe mir die Logfiles auch noch mal durchgesehen und verstehe folgende Sachen leider nicht:

Code:



---
 

Computer Name: ***

Event Code: 11

Message: Der Treiber hat einen Controllerfehler auf \Device\Harddisk1\DR1 gefunden.

Record Number: 58608

Source Name: disk

Time Written: 20090216203828.921875-000

Event Type: Fehler

User:
 

---
 

Computer Name: ***

Event Code: 4672

Message: Einer neuen Anmeldung wurden besondere Rechte zugewiesen.
 

Antragsteller:

        Sicherheits-ID:                S-***

        Kontoname:                ***

        Kontodomäne:                ***

        Anmelde-ID:                0x111e01f
 

Berechtigungen:                SeSecurityPrivilege

                        SeTakeOwnershipPrivilege

                        SeLoadDriverPrivilege

                        SeBackupPrivilege

                        SeRestorePrivilege

                        SeDebugPrivilege

                        SeSystemEnvironmentPrivilege

                        SeImpersonatePrivilege

Record Number: 17641

Source Name: Microsoft-Windows-Security-Auditing

Time Written: 20090114202630.032975-000

Event Type: Überwachung erfolgreich

User: 
 

---
 

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
 

---
 

R2 acedrv09;acedrv09; \??\C:\Windows\system32\drivers\acedrv09.sys [2007-06-18 373568]

R2 acehlp09;acehlp09; \??\C:\Windows\system32\drivers\acehlp09.sys [2007-05-30 201696]
 

---
 

O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
 

---
 

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
 

---
 

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
 

---

Ist das ein Plattenfehler beim Controller?

Und dann hab ich ja noch immer dieses GMER-Log - wann immer da man etwas googelt, landet man bei Trojanern & Co.:

Code:



GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2009-12-22 12:26:46

Windows 6.0.6002 Service Pack 2

Running: gmer.exe; Driver: C:\Users\***\AppData\Local\Temp\pftdqpob.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT 950B3C9C ZwCreateThread

SSDT 950B3C88 ZwOpenProcess

SSDT 950B3C8D ZwOpenThread

SSDT 950B3C97 ZwTerminateProcess
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text ntkrnlpa.exe!KeSetEvent + 221 820B1964 4 Bytes [9C, 3C, 0B, 95] {PUSHF ; CMP AL, 0xb; XCHG EBP, EAX}

.text ntkrnlpa.exe!KeSetEvent + 3F1 820B1B34 4 Bytes [88, 3C, 0B, 95] {MOV [EBX+ECX], BH; XCHG EBP, EAX}

.text ntkrnlpa.exe!KeSetEvent + 40D 820B1B50 4 Bytes [8D, 3C, 0B, 95] {LEA EDI, [EBX+ECX]; XCHG EBP, EAX}

.text ntkrnlpa.exe!KeSetEvent + 621 820B1D64 4 Bytes [97, 3C, 0B, 95] {XCHG EDI, EAX; CMP AL, 0xb; XCHG EBP, EAX}

.reloc C:\Windows\system32\drivers\acehlp09.sys section is executable [0x8CDC2780, 0x28F7A, 0xE0000060]

.reloc C:\Windows\system32\drivers\acedrv09.sys section is executable [0x99468000, 0x4E05A, 0xE0000060]
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)
 

---- Registry - GMER 1.0.15 ----
 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0018f337f16b

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\0018f337f16b (not active ControlSet)
 

---- EOF - GMER 1.0.15 ----

Vielen Dank, Monogram

Ein Plattenfehler könnte möglich sein. Du kannst ja mal von Western Digital das Tool WinDLG herunterladen und unter Windows die Platte testen.

Noch ein Tipp von Angel21:

C:\Windows\system32\DRIVERS\smserial.sys

Diese Datei bitte auch bei Virustotal.com auswerten und die Ergebnisse posten (wie bei der z1info... Datei)

Das scannen von smserial dauert ein wenig (wahrscheinlich freuen die sich jetzt über neue Seriennummern ;)

In der Zwischenzeit wollte ich nochmal fragen, was das Zeug in GMER eigentlich zu bedeuten hat ...

PS Platte ist ne Hitachi, läuft nicht mit WD-Diagnostik, und die Sachen auf deren Homepage sind ... naja ... :(

Datei smserial.sys empfangen 2009.12.23 14:25:09 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/41 (0%)

Negativ!

VG Monogram