|
Und GMER: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 09:36:13 Windows 5.1.2600 Service Pack 3 Running: fbzisl0v.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\kfeyifob.sys ---- System - GMER 1.0.15 ---- SSDT F7BCC39E ZwCreateKey SSDT F7BCC394 ZwCreateThread SSDT F7BCC3A3 ZwDeleteKey SSDT F7BCC3AD ZwDeleteValueKey SSDT F7BCC3B2 ZwLoadKey SSDT F7BCC380 ZwOpenProcess SSDT F7BCC385 ZwOpenThread SSDT F7BCC3BC ZwReplaceKey SSDT F7BCC3B7 ZwRestoreKey SSDT F7BCC3A8 ZwSetValueKey SSDT F7BCC38F ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6D86360, 0x2255BD, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe4e979 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfe4e979 (not active ControlSet) Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ... ---- EOF - GMER 1.0.15 ---- |
Hi, wie hast Du die Files hochgeladen? Den Pfad reinkopiert? Keines der Files ist untersucht worden... Zitat:
Probiere es nocheinmal indem Du die kompletten Pfade in das Eingabefeld von Virustotal.com reinkopierst... Code: [2006.08.25 07:43:56 | 000,001,024 | RH-- | C] () -- C:\WINDOWS\System32\NTIBUN4.dllCombofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Antivierenlösung komplett auschalten und zwar so, dass sie sich auch nach einem Reboot NICHT einschaltet! Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Chris |
Zitat:
|
Hi, ja, ist so. Sonst packe die Files mit einem Zipper zusammen (z.B. Izarc: http://www.izarc.org/), verschlüsselt, Passwort=infected und poste es hier: Fileuplod: http://www.file-upload.net/, hochladen und den Link (mit Löschlink) als "PrivateMail" an mich... chris |
Du solltest Post haben. |
Hi, Analysen laufen, bisher nichts gefunden (Rest siehe pm)... Will den Extensions noch mal auf den Grund gehen:
Code: :reg
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert. chris |
Danke für die PM. System immunisiert habe ich mMn nicht (musste erst googlen, was das genau heißt) - ich bin mir aber nich 100%ig sicher! Aber gut, dass die Files sauber sind. Hier das LOG von Systemlook: SystemLook v1.0 by jpshortstuff (11.01.10) Log created at 14:58 on 03/02/2010 by Tim (Administrator - Elevation successful) ========== reg ========== [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}] (Unable to open key - key not found) [HKEY_USERS\S-1-5-21-1140580375-1501994220-3611913250-1006\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}] (Unable to open key - key not found) -=End Of File=- |
Hi, verdammt... Lass noch mal GMER laufen, tauchen die Dinger auf dann versuchen wir sie mal wegzuschiessen... Ist kein gutes Zeichen wenn nur der Rookitscanner die findet... chris |
Hier ist der GMER Scan! Was machen wir jetzt, bzw, wie versuchen wir sie wegzuschießen? GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-02-03 15:11:37 Windows 5.1.2600 Service Pack 3 Running: fbzisl0v.exe; Driver: C:\DOKUME~1\Tim\LOKALE~1\Temp\kfeyifob.sys ---- System - GMER 1.0.15 ---- SSDT F7BCD2AE ZwCreateKey SSDT F7BCD2A4 ZwCreateThread SSDT F7BCD2B3 ZwDeleteKey SSDT F7BCD2BD ZwDeleteValueKey SSDT F7BCD2C2 ZwLoadKey SSDT F7BCD290 ZwOpenProcess SSDT F7BCD295 ZwOpenThread SSDT F7BCD2CC ZwReplaceKey SSDT F7BCD2C7 ZwRestoreKey SSDT F7BCD2B8 ZwSetValueKey SSDT F7BCD29F ZwTerminateProcess ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6D86360, 0x2255BD, 0xE8000020] ---- Devices - GMER 1.0.15 ---- AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0014a4fde349 Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016cfe4e979 Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0014a4fde349 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016cfe4e979 (not active ControlSet) Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@iajgdfojhmdemnldog 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}@hadiagidceabeffl 0x6A 0x61 0x70 0x67 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC} Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@nanagnknhhmddbgekdblgnomoknd 0x6A 0x61 0x65 0x64 ... Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{D80C83FA-041F-C3F6-575E-D43CAA87FACC}@mapamiiofnppgmjkdbjimlcbio 0x6A 0x61 0x65 0x64 ... ---- EOF - GMER 1.0.15 ---- |
Hi, bevor wir die Keys in der Reg löschen, Backup der Reg machen: Backup der Registry erstellen mit ERUNT: * Lade Dir ERUNT von folgender Adresse: http://aumha.org/freeware/freeware.php * Wähle die Installationsversion von ERUNT und installiere es auf deutsch * Nach der Installation startet er gleich, alle Auswahlen so lassen * Backup durchführen Anmerkung: Um das Backup der Registry wieder einzuspielen, wechsele per commandline in das Backupverzeichns und starte ERDNT.exe (falls was schief gehen sollte, allerdings nur auf ausdrückliche Anweisung!) Gmer starten (da es u. U. eine generische Exe ist, Namen merken!) Oben links findest du einen Reiter der etwa so aussieht: [quote] >>>> [quote] Klicke den Reiter an und es werden weitere Reiter erscheinen. Wähle den Reiter cmd aus. Dann kopiere bitte in das schwarze obere Feld folgendes rein: Code: aktuellerNamevonGmer -del reg "HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{77669FD0-6E68-24CD-3888-E445136BD040}"Date MAM up und lasse es noch mal laufen... chris |
Hi! Hab zunächst das Backup gemacht, um dann wie beschrieben mit GMER weiterzumachen. Habe den Code auch ins obere schwarze Feld bei cmd reinkopiert und dein "aktuellerNamevonGmer" gegen den generierten Namen von GMER eingefügt (bei mir also: fbzisl0v.exe). Nach kurzem warten kam ein Windows-typisches Fehlergeräusch *Plong* und die Meldung "DeleteKey: Das angegebene Modul wurde nicht entfernt". Danach dasselbe ein zweites Mal (wegen der zwei -del reg Befehle nehme ich an) und dann wurde der Bildschirm einfach schwarz und der Rechner lief weiter, um dann nach 5 Minuten zu rebooten (inkl. der Windows typischen Datenträgerüberprüfung, wenn der PC nicht "normal" herunter gefahren wurde - ich hoffe, das war die "normale" Reboot Prozedur von GMER und so gewollt!). Edit: Hatte dabei allerdings auch AntiVir laufen und war im Inet - sollte ich das vielleicht vermeiden, bzw. kann es daran liegen? |
Hi, nein, Inet und Antivir sollte das nicht verhindern können... Dann bliebe als letztes der Versuch die Einträge über CF zu "entsorgen"... Mal sehen ob sich einer im Kompetenforum gemeldet hat, der die Dinger kennt... chris |
Alles klar! Dann warte ich auf deine Antwort, bzw. CF Anweisungen. |
Hi, bisher hat sich keiner gemeldet, hab noch mal nachgefragt... chris |
Okay, dann nehme ich an, es heißt abwarten. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:49 Uhr. |
Copyright ©2000-2025, Trojaner-Board