Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rootkit? - Hilfe bei Auswertung von gmer Log (https://www.trojaner-board.de/134216-rootkit-hilfe-auswertung-gmer-log.html)

Sundancer09 27.04.2013 23:26
Rootkit? - Hilfe bei Auswertung von gmer Log
 
Hallo an alle, ich bin völlig neu hier, hatte aber vorher schon viele Beiträge im Forum durchsucht, leider keine passende Antwort erhalten. Meinen PC (XP, SP3) überprüfe ich einmal die Woche mit MAlwarebytes und GData Total Protetion, zusätzlich noch mit Spybot. Heute habe ich aber erst die Funktion "Rootkits" bei Spybot entdeckt und das Prog hatte mir 5 Dateien im Schnellscan gezeigt (seltsamte arabscieh/asiatische Zeichen). Der Tiefenscan ergab keine Hinweise, Gdata und Malwarebytes waren auch ohne Befund. Ich hatte die 5 Dateien über virustotal scannen lassen, OHNE Befund. Ich bin hier im Forum auf gmer.exe gestossen, und habe dieses mal laufen lassen. Das Log-File habe ich hier mal reinkopiert. Könnt ihr mir bitte bei der Auswertung helfen? Mein PC-Verständnis ist nicht gerade so hoch!!! VIELEN DANK!!!!!
GMER Logfile:
Code:
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-27 23:00:52
Windows 5.1.2600 Service Pack 3, v.3264 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_HD322HJ rev.1AG01118 298,09GB
Running: test.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uwliypow.sys


---- System - GMER 2.1 ----

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwCreateKey [0xF74108A6]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwDeleteKey [0xF7410BFA]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwDeleteValueKey [0xF7410C3A]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwOpenKey [0xF7410A4C]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwOpenProcess [0xF740F4E4]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwSetValueKey [0xF7410B9E]

---- Kernel code sections - GMER 2.1 ----

.text          C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                      section is writeable [0xBA4A0000, 0x17C39E, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text          C:\Programme\Mozilla Firefox\firefox.exe[312] ntdll.dll!LdrLoadDll                                                            7C9263A3 5 Bytes  JMP 01546D70 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!lstrlenW + 43                                                      7C809ADC 7 Bytes  JMP 0189D736 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!MapViewOfFileEx + 6A                                              7C80B990 7 Bytes  JMP 0189D713 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!ValidateLocale + B1E8                                              7C8449F8 7 Bytes  JMP 01561C62 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\firefox.exe[312] GDI32.dll!SetDIBitsToDevice + 208                                              77EF9964 7 Bytes  JMP 0189D694 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!DefWindowProcA + 11A                                      7E36DE38 7 Bytes  JMP 108243E6 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!SetWindowLongA + 19                                        7E36DE56 7 Bytes  JMP 10824375 C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!GetWindowInfo                                              7E36E142 5 Bytes  JMP 1046E50D C:\Programme\Mozilla Firefox\xul.dll
.text          C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!GetMenuContextHelpId + 1A                                  7E3B5311 7 Bytes  JMP 1046E9FB C:\Programme\Mozilla Firefox\xul.dll

---- Devices - GMER 2.1 ----

Device                                                                                                                                        Ntfs.sys
Device                                                                                                                                        Fastfat.SYS
Device          \Driver\Tcpip \Device\Ip                                                                                                      GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\Tcp                                                                                                    GDTdiIcpt.sys
Device                                                                                                                                        rdpdr.sys
Device          \Driver\Tcpip \Device\Udp                                                                                                    GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\RawIp                                                                                                  GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                            GDTdiIcpt.sys
Device                                                                                                                                        mrxsmb.sys

AttachedDevice                                                                                                                                fltmgr.sys

---- Registry - GMER 2.1 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                              911
Reg            HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@DhcpNameServer                                                        192.168.2.1
Reg            HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpRetryTime      2147483647
Reg            HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpRetryStatus    0
Reg            HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpDefaultGateway  192.168.2.1?
Reg            HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpSubnetMaskOpt  255.255.255.0?
Reg            HKLM\SYSTEM\CurrentControlSet\Services\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}\Parameters\Tcpip@DhcpDefaultGateway            192.168.2.1?
Reg            HKLM\SYSTEM\CurrentControlSet\Services\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}\Parameters\Tcpip@DhcpSubnetMaskOpt              255.255.255.0?

---- EOF - GMER 2.1 ----
--- --- ---

KLEINER NACHTRAG: Ich habe mal die Datei [I]HookCentre.sys[I]auf ihre Größe untersucht. Im Internet findet man 20 Größenangaben zwischen 12.000-41.000 Bytes. Meine Datei ist 47.000 Bytes groß.
Sundancer09

NACHTRAG: Habe heute im abgesicherten Modus noch mal Gmer laufen lassen - keine Hinweise. Einen Malwarebytes Log (abgesicherter Modus) habe ich unten angefügt:

Malwarebytes Anti-Malware 1.75.0.1300
Datenbank Version: v2013.04.23.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.5730.13
Administrator :: ja

28.04.2013 07:26:51
mbam-log-2013-04-28 (07-26-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 274143
Laufzeit: 20 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

ryder 28.04.2013 09:08
Wir können auch keine Infektion erfinden wo keine ist. Wenn du aber unbedingt einen infizierten Rechner willst kann ich dir gerne ein paar Dropper zumailen. :)

Mein Tipp: Lass die Finger von zu vielen Sicherheitstool. Die Logfiles sind für Laien schwer zu interpretieren (auch für uns!).

Noch Fragen?

ryder 30.04.2013 17:18
Schön, dass wir helfen konnten :abklatsch:

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55