|
Spybot, Antiv, Systemwiederherstellung läuft nicht mehr Tagchen, ich glaube ich habe mir irgendeinen bosen Trojaner oder änliches eingefangen. Ich hab keine Ahnung was ich dagegen jetzt genau tun muss und hab deswegen hier ein wenig rumgestöbert. GMER runtergeladen und durchlaufen lassen. der hat auch gleich etwas gefunden. Ich hoffe doch mal ich poste das hier richtig und irgendwer kann mir weiterhelfen! GMER 1.0.14.14536 - http://www.gmer.net Rootkit scan 2010-01-07 18:14:50 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.14 ---- INT 0x62 ? 8A8C9BF8 INT 0x63 ? 8A6F3F00 INT 0x63 ? 8A6F3F00 INT 0x73 ? 8A8CCBF8 INT 0x82 ? 8A8C9BF8 INT 0x83 ? 8A6F3F00 INT 0x84 ? 8A6F3F00 INT 0xA4 ? 8A6F3F00 INT 0xB4 ? 8A8C9BF8 INT 0xB4 ? 8A8C9BF8 INT 0xB4 ? 8A6F3F00 INT 0xB4 ? 8A8C9BF8 Code 8A23DC98 ZwEnumerateKey Code 8A657E18 ZwFlushInstructionCache Code 8A23DCCE IofCallDriver Code 8A4DA35E IofCompleteRequest ---- Kernel code sections - GMER 1.0.14 ---- .text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A23DCD3 .text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A4DA363 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6814 5 Bytes JMP 8A657E1C PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF2 5 Bytes JMP 8A23DC9C ? sppi.sys Das System kann die angegebene Datei nicht finden. ! .text USBPORT.SYS!DllUnload B75178AC 5 Bytes JMP 8A6F34E0 ---- User code sections - GMER 1.0.14 ---- .text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!closesocket 71A13E2B 5 Bytes JMP 02BD000A .text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!connect 71A14A07 5 Bytes JMP 02BC000A .text C:\Programme\Mozilla Firefox\firefox.exe[3536] WS2_32.dll!send 71A14C27 5 Bytes JMP 02BE000A ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B7EB6042] sppi.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B7EB613E] sppi.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B7EB60C0] sppi.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B7EB6800] sppi.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B7EB66D6] sppi.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8A8571F8 Device \Driver\PCI_PNP2824 \Device\00000041 sppi.sys Device \Driver\usbuhci \Device\USBPDO-0 8A6B51F8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A8591F8 Device \Driver\dmio \Device\DmControl\DmConfig 8A8591F8 Device \Driver\dmio \Device\DmControl\DmPnP 8A8591F8 Device \Driver\dmio \Device\DmControl\DmInfo 8A8591F8 Device \Driver\usbuhci \Device\USBPDO-1 8A6B51F8 Device \Driver\usbehci \Device\USBPDO-2 8A69E1F8 Device \Driver\usbuhci \Device\USBPDO-3 8A6B51F8 Device \Driver\usbuhci \Device\USBPDO-4 8A6B51F8 Device \Driver\usbuhci \Device\USBPDO-5 8A6B51F8 Device \Driver\usbehci \Device\USBPDO-6 8A69E1F8 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A8CA1F8 Device \Driver\NetBT \Device\NetBT_Tcpip_{BF28E0C1-3752-4F91-AA40-29F026B77CBB} 8A0881F8 Device \Driver\sptd \Device\445266574 sppi.sys Device \Driver\Ftdisk \Device\HarddiskVolume2 8A8CA1F8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A0881F8 Device \Driver\NetBT \Device\NetbiosSmb 8A0881F8 Device \Driver\usbuhci \Device\USBFDO-0 8A6B51F8 Device \Driver\usbuhci \Device\USBFDO-1 8A6B51F8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A0AF1F8 Device \Driver\usbehci \Device\USBFDO-2 8A69E1F8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A0AF1F8 Device \Driver\usbuhci \Device\USBFDO-3 8A6B51F8 Device \Driver\usbuhci \Device\USBFDO-4 8A6B51F8 Device \Driver\Ftdisk \Device\FtControl 8A8CA1F8 Device \Driver\usbuhci \Device\USBFDO-5 8A6B51F8 Device \Driver\usbehci \Device\USBFDO-6 8A69E1F8 Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8581F8 Device \Driver\az7csx3s \Device\Scsi\az7csx3s1Port5Path0Target0Lun0 8A65C1F8 Device \Driver\az7csx3s \Device\Scsi\az7csx3s1 8A65C1F8 Device \Driver\JRAID \Device\Scsi\JRAID1 8A8581F8 Device \FileSystem\Cdfs \Cdfs 8A020500 ---- Modules - GMER 1.0.14 ---- Module \systemroot\system32\drivers\H8SRTgxtxnsujct.sys (*** hidden *** ) B4C85000-B4CA2000 (118784 bytes) ---- Processes - GMER 1.0.14 ---- Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [252] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [392] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1052] 0x02720000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1164] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1372] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1548] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1700] 0x10000000 Library \\?\globalroot\systemroot\system32\H8SRTeylrgpppfm.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [2748] 0x10000000 ---- EOF - GMER 1.0.14 ---- |
Hallo und :hallo: Du hast da wohl das H8SRT-Rootkit drin :balla: Bitte mal den Avenger anwenden Vorbereitungen: a) Deaktiviere den Hintergrundwächter vom Virenscanner. b) Stöpsele alle externen Datenträger vom Rechner ab. Danach: 1.) Lade Dir von hier Avenger: Swandog46's Public Anti-Malware Tools (Download, linksseitig) 2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken genau unten wie abgebildet setzen: http://mitglied.lycos.de/efunction/tb123/avenger.png 3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld: Code: files to delete:5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein. 6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso. 7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier. 8.) Unmittelbar danach eine Analyse mit Malwarebytes machen (halt dich genau an die Anleitung) und poste das Log. Etwaige Funde entfernen lassen, Signaturen vorher aktualisieren) |
Erstmal danke für deinen Post, ihr seid ja richtige Profis! Das Avengerlog is mir irgendwie abhanden gekommen, sorry. aber Malwarebytes hat das hier ausgespuckt: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3517 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 08.01.2010 17:11:44 mbam-log-2010-01-08 (17-11-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 160636 Laufzeit: 30 minute(s), 11 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\H8SRT (Rootkit.TDSS) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\H8SRTeylrgpppfm.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTiyaqmmnamy.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\drivers\H8SRTgxtxnsujct.sys (Malware.Packer) -> Quarantined and deleted successfully. C:\WINDOWS\system32\krl32mainweq.dll (Trojan.DNSChanger) -> Quarantined and deleted successfully. C:\WINDOWS\system32\H8SRTxjbaqjexii.dat (Rootkit.TDSS) -> Quarantined and deleted successfully. |
Das Avenger-Log findest Du in c:\avenger.txt oder in der backup.zip in c:\avenger - die backup.zip kannst Du auch gerne bei file-upload.net hochladen und hier verlinken. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board