Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Mülltonne (https://www.trojaner-board.de/muelltonne/)
-   -   ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978 (https://www.trojaner-board.de/202032-rootkit-windows-7-finden-gmer-auswertung-exe-kicpuid-978-a.html)

Jana Bella 14.06.2021 21:07
ROOTKIT AUF WINDOWS 7 FINDEN "GMER AUSWERTUNG" exe!KiCpuId + 978
 
Guten Abend liebe Leute ,

ich bin die Jana und IT Studentin an einer TU .

Ich weiss ganz sicher das ich mir ein Rootkit eingefangen habe.

Höchstwahrscheinlich über eine jpg pdf drive by attake oder einfach durch einen gezielten Hackerangriff.

An unserer Universität gibt es einige gute Computer Schüler .

Manchetesten auch einfach andere aus . Jetzt möchte ich auch mal etwas dagegen unternehmen .

In meinen Bekanntenkreis ist durchgesickert das mir jemand von denen ein Rootkit drauf gespielt hat.

und was ich an den letzten Abenden an meinen Computer und im Netz gemacht habe.

Jetzt will ich natürlich gegenmaßnahmen ergreifen und das Rootkit zweifelsfrei finden , ohne den PC neu Aufsetzen zu müssen.

Ich hoffe Jemand kann mir hier dabei helfen . Ich revanchiere mich auch gerne dafür :party:

Ich habe bereits mit Malewarebytes TDSS Killer und anderen Tools danach gesucht .

Nichts wurde gefunden , auch kein Wunder bei einen Rootkit .

Jetzt habe ich noch mit GMER einen Scan gemacht und Auffälligkeiten festgestellt.

Gmer zeigt mir die Log Datei :

Code:
---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                  fffff80002cf9682 1 byte [21]

---- Registry - GMER 2.2 ----

Reg    HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\402cf4d80747                     
Reg    HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\402cf4d80747 (not active ControlSet) 

---- EOF - GMER 2.2 ----


Bei geöffneten Firefox Browser sogar noch mehr :

GMER 2.2.19882 - hxxp://www.gmer.net
Rootkit scan 2021-06-14 21:35:02
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 INTEL_SSDSA2BW160G3H rev.4PC10365 149,05GB
Running: swf5n4yz.exe; Driver: C:\Users\Privat\AppData\Local\Temp\ugdiapob.sys


---- Kernel code sections - GMER 2.2 ----

.text  C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978                                                                      fffff80002cf9682 1 byte [21]

---- User code sections - GMER 2.2 ----

.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!SetUnhandledExceptionFilter      0000000077428bc0 13 bytes {MOV R11, 0x7feefc711e4; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1700] C:\Windows\system32\USER32.dll!GetWindowInfo                      0000000077548a24 13 bytes {MOV R11, 0x7feef978fd0; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread              0000000077699870 7 bytes [48, B8, 0C, B9, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationThread + 8          0000000077699878 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken                  00000000776999e0 3 bytes [48, B8, 64]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadToken + 4              00000000776999e4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess                      0000000077699a00 7 bytes [48, B8, E0, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcess + 8                  0000000077699a08 7 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile                0000000077699a10 3 bytes [48, B8, E0]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtSetInformationFile + 4            0000000077699a14 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx                0000000077699a90 3 bytes [48, B8, 88]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThreadTokenEx + 4            0000000077699a94 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx                0000000077699aa0 3 bytes [48, B8, 1C]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessTokenEx + 4            0000000077699aa4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile                          0000000077699ad0 7 bytes [48, B8, 70, B7, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenFile + 8                      0000000077699ad8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile              0000000077699b70 3 bytes [48, B8, B8]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryAttributesFile + 4          0000000077699b74 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile                        0000000077699cf0 7 bytes [48, B8, 34, B6, 43, 3F, 01]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtCreateFile + 8                    0000000077699cf8 6 bytes {ADD [RAX], AL; JMP RAX}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken                  000000007769a760 3 bytes [48, B8, 04]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenProcessToken + 4              000000007769a764 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread                        000000007769a7b0 3 bytes [48, B8, 40]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtOpenThread + 4                    000000007769a7b4 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile          000000007769a900 3 bytes [48, B8, CC]
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!NtQueryFullAttributesFile + 4      000000007769a904 3 bytes [43, 3F, 01]
.text  ...                                                                                                                  * 2
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\SYSTEM32\ntdll.dll!LdrLoadDll                          000000007771ac90 13 bytes {MOV R11, 0x7fefae7b630; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsFree + 8                      00000000774205d8 13 bytes {MOV R11, 0x7feeffb89e8; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!TlsAlloc + 8                    0000000077426148 13 bytes {MOV R11, 0x7feeffb899c; JMP R11}
.text  C:\Program Files\Mozilla Firefox\firefox.exe[1052] C:\Windows\system32\kernel32.dll!RtlInstallFunctionTableCallback  000000007745b7b0 13 bytes {MOV R11, 0x7fefae82674; JMP R11}

---- Registry - GMER 2.2 ----


DIE KERNELDATEI : C:\Windows\system32\ntoskrnl.exe!KiCpuId + 978
kommt mir sehr verdächtig vor welche auch GMER anzeigt . Es soll auch Rootkits geben die nur bei geöffneten Browser (wie bei mir Firefox) aktiv sind .


Wer kann mir da bitte fachkundigen Rat geben und mir helfen den Übeltäter auf die Schkiche zu kommen .

Ganz Liebe Grüße Jana Bella :zunge:

cosinus 14.06.2021 21:23
Zitat:
ohne den PC neu Aufsetzen zu müssen.
Ist nicht drin. Windows 7 wird nicht mehr bereinigt. Dass du das immer noch nutzt ist schon extrem naiv und verantwortungslos, du kannst auch nicht erzählen, dass du das Supportende nicht mitbekommen hast. Spätestens schon Dezember 2019 hätte Windows 7 durch Windows 10 oder ein aktuelles Linux ersetzt werden müssen.

Da nicht bereinigt wird, verschiebe ich nach Diskussion.

Jana Bella 14.06.2021 21:29
Ich nutze WIn7 weil ich es einfach Datenschutz freundlicher finde als Win 10.

Außerdem sind alle Updates von mir manuell eingespielt wurden .

Außerdem finde ich Win 7 einfach Benutzerfreundlicher und brauche das auch für meine Arbeiten.

Warum dann gleich auf ein Linuxsystem oder WIn 10 umstellen ?!

Kann man mir trotzdem Helfen bitte.

Es sind zu viele wichtige Programme in Vollversion von mir drauf als das ich jetzt alles neu machen möchte.

cosinus 14.06.2021 21:38
Zitat:
Zitat von Jana Bella (Beitrag 1754167)
Ich nutze WIn7 weil ich es einfach Datenschutz freundlicher finde als Win 10.
Das ist kompletter Blödsinn. Microsoft hat bei Windows 7 schon vor Jahren die Telemetrie nachgerüstet.


Zitat:
Zitat von Jana Bella (Beitrag 1754167)
Außerdem sind alle Updates von mir manuell eingespielt wurden
Du kannst gar keine aktuellen Updates installieren. Seit Januar 2020 gibt es diese nicht mehr für Windows 7!


Zitat:
Zitat von Jana Bella (Beitrag 1754167)
Kann man mir trotzdem Helfen bitte.
Ja. Datensicherung, dann Neuinstallation von Windows 10 oder Linux.


Zitat:
Zitat von Jana Bella (Beitrag 1754167)
Es sind zu viele wichtige Programme in Vollversion von mir drauf als das ich jetzt alles neu machen möchte.
Tut nichts zur Sache. Windows 7 bereinigen wir nicht. :kloppen:

stefanbecker 14.06.2021 21:40
Du wirst hier keine Hilfe bekommen. Zu Recht. Update Asketen gefährden sich und andere.

cosinus 14.06.2021 21:44
Die Bedingung, dass das Windows aktuell sein muss, hättest du auch vorher schon wissen müssen. Siehe Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Es werden grundsätzlich nur Betriebssysteme bereinigt, die noch eine offizielle Unterstützung von Microsoft erhalten.
Dies gilt aktuell für Windows 8.1 sowie Windows 10 v2004 oder neuer.

Jana Bella 14.06.2021 21:44
Mal etwas dazu .

Zitat:
Zitat von cosinus (Beitrag 1754169)
Das ist kompletter Blödsinn. Microsoft hat bei Windows 7 schon vor Jahren die Telemetrie nachgerüstet.

DIE TELEMETRY lässt sich ganz einfach über die registry abschalten !


Du kannst gar keine aktuellen Updates installieren. Seit Januar 2020 gibt es diese nicht mehr für Windows 7!

Es gab die letzten aktuellen Updates zum manuellen Download !


Ja. Datensicherung, dann Neuinstallation von Windows 10 oder Linux.


WER SETZT SCHON EIN RECHNER NEU AUF WENN ALLE VOLLVERSIONEN VORHANDEN SIND , auf ein anderes System :knuddel:


Tut nichts zur Sache. Windows 7 bereinigen wir nicht. :kloppen:

cosinus 14.06.2021 21:49
Zitat:
Zitat von Jana Bella (Beitrag 1754173)
WER SETZT SCHON EIN RECHNER NEU AUF WENN ALLE VOLLVERSIONEN VORHANDEN SIND , auf ein anderes System
Na, du natürlich :rolleyes:
Weil wir Windows 7 nicht bereinigen. Und es interessiert uns auch nicht, dass du keine Lust hast, alle Programme neu zu installieren. Das hast du selbst verbockt.

Jana Bella 14.06.2021 21:56
@ cosinus

DU BIST EIN RECHT KOMISCHER KAUTZ MIT EINER ECHT FRECHEN GRO?EN KLAPPE !

IM WAHREN LEBEN NICHTS DAHINTER UND HIER DAS MÄULCHEN ERHEBEN.

HO DIR LIEBER NOCH EIN STÜCK PIZZA UND SPRECH MIT DEN KIDDIS SO

webwatcher 14.06.2021 22:01
@ Jana Bella

hast du dir eigentlich mal das Profil von cosinus angesehen?

angemeldet seit 2004 und über 180 000 Postings

Wo warst du denn 2004? in der Grundschule?

cosinus 14.06.2021 22:05
So, wir haben jetzt genug gelacht Jana, jetzt hat es sich aber ausgetrollt. :rofl:

Da fang --> http://cosinus.trojaner-board.de/images/heise/fisch.png


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131