Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Rootkit? - Hilfe bei Auswertung von gmer Log

Rootkit? - Hilfe bei Auswertung von gmer Log


Plagegeister aller Art und deren Bekämpfung: Rootkit? - Hilfe bei Auswertung von gmer Log

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.04.2013, 23:26   #1
Sundancer09
 
Rootkit? - Hilfe bei Auswertung von gmer Log - Standard

Rootkit? - Hilfe bei Auswertung von gmer Log


Hallo an alle, ich bin völlig neu hier, hatte aber vorher schon viele Beiträge im Forum durchsucht, leider keine passende Antwort erhalten. Meinen PC (XP, SP3) überprüfe ich einmal die Woche mit Malwarebytes und GData Total Protetion, zusätzlich noch mit Spybot. Heute habe ich aber erst die Funktion "Rootkits" bei Spybot entdeckt und das Prog hatte mir 5 Dateien im Schnellscan gezeigt (seltsamte arabscieh/asiatische Zeichen). Der Tiefenscan ergab keine Hinweise, Gdata und Malwarebytes waren auch ohne Befund. Ich hatte die 5 Dateien über virustotal scannen lassen, OHNE Befund. Ich bin hier im Forum auf gmer.exe gestossen, und habe dieses mal laufen lassen. Das Log-File habe ich hier mal reinkopiert. Könnt ihr mir bitte bei der Auswertung helfen? Mein PC-Verständnis ist nicht gerade so hoch!!! VIELEN DANK!!!!!
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-27 23:00:52
Windows 5.1.2600 Service Pack 3, v.3264 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e SAMSUNG_HD322HJ rev.1AG01118 298,09GB
Running: test.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uwliypow.sys


---- System - GMER 2.1 ----

SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwCreateKey [0xF74108A6]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwDeleteKey [0xF7410BFA]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwDeleteValueKey [0xF7410C3A]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwOpenKey [0xF7410A4C]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwOpenProcess [0xF740F4E4]
SSDT            \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                                                ZwSetValueKey [0xF7410B9E]

---- Kernel code sections - GMER 2.1 ----

.text           C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                                      section is writeable [0xBA4A0000, 0x17C39E, 0xE8000020]

---- User code sections - GMER 2.1 ----

.text           C:\Programme\Mozilla Firefox\firefox.exe[312] ntdll.dll!LdrLoadDll                                                            7C9263A3 5 Bytes  JMP 01546D70 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!lstrlenW + 43                                                      7C809ADC 7 Bytes  JMP 0189D736 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!MapViewOfFileEx + 6A                                               7C80B990 7 Bytes  JMP 0189D713 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[312] kernel32.dll!ValidateLocale + B1E8                                              7C8449F8 7 Bytes  JMP 01561C62 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\firefox.exe[312] GDI32.dll!SetDIBitsToDevice + 208                                               77EF9964 7 Bytes  JMP 0189D694 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!DefWindowProcA + 11A                                       7E36DE38 7 Bytes  JMP 108243E6 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!SetWindowLongA + 19                                        7E36DE56 7 Bytes  JMP 10824375 C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!GetWindowInfo                                              7E36E142 5 Bytes  JMP 1046E50D C:\Programme\Mozilla Firefox\xul.dll
.text           C:\Programme\Mozilla Firefox\plugin-container.exe[3440] USER32.dll!GetMenuContextHelpId + 1A                                  7E3B5311 7 Bytes  JMP 1046E9FB C:\Programme\Mozilla Firefox\xul.dll

---- Devices - GMER 2.1 ----

Device                                                                                                                                        Ntfs.sys
Device                                                                                                                                        Fastfat.SYS
Device          \Driver\Tcpip \Device\Ip                                                                                                      GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\Tcp                                                                                                     GDTdiIcpt.sys
Device                                                                                                                                        rdpdr.sys
Device          \Driver\Tcpip \Device\Udp                                                                                                     GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\RawIp                                                                                                   GDTdiIcpt.sys
Device          \Driver\Tcpip \Device\IPMULTICAST                                                                                             GDTdiIcpt.sys
Device                                                                                                                                        mrxsmb.sys

AttachedDevice                                                                                                                                fltmgr.sys

---- Registry - GMER 2.1 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch                                                               911
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters@DhcpNameServer                                                        192.168.2.1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpRetryTime       2147483647
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpRetryStatus     0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpDefaultGateway  192.168.2.1?
Reg             HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}@DhcpSubnetMaskOpt   255.255.255.0?
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}\Parameters\Tcpip@DhcpDefaultGateway             192.168.2.1?
Reg             HKLM\SYSTEM\CurrentControlSet\Services\{C661BFF1-1CFA-4463-BB49-1B2B03AE39DA}\Parameters\Tcpip@DhcpSubnetMaskOpt              255.255.255.0?

---- EOF - GMER 2.1 ----
--- --- ---

KLEINER NACHTRAG: Ich habe mal die Datei [I]HookCentre.sys[I]auf ihre Größe untersucht. Im Internet findet man 20 Größenangaben zwischen 12.000-41.000 Bytes. Meine Datei ist 47.000 Bytes groß.
Sundancer09

NACHTRAG: Habe heute im abgesicherten Modus noch mal GMER laufen lassen - keine Hinweise. Einen Malwarebytes Log (abgesicherter Modus) habe ich unten angefügt:

Malwarebytes Anti-Malware 1.75.0.1300
Datenbank Version: v2013.04.23.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.5730.13
Administrator :: ja

28.04.2013 07:26:51
mbam-log-2013-04-28 (07-26-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 274143
Laufzeit: 20 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Geändert von Sundancer09 (27.04.2013 um 23:37 Uhr)

Alt 28.04.2013, 09:08   #2
ryder
/// TB-Ausbilder
 
Rootkit? - Hilfe bei Auswertung von gmer Log - Standard

Rootkit? - Hilfe bei Auswertung von gmer Log


Wir können auch keine Infektion erfinden wo keine ist. Wenn du aber unbedingt einen infizierten Rechner willst kann ich dir gerne ein paar Dropper zumailen.

Mein Tipp: Lass die Finger von zu vielen Sicherheitstool. Die Logfiles sind für Laien schwer zu interpretieren (auch für uns!).

Noch Fragen?
__________________

__________________
Alt 30.04.2013, 17:18   #3
ryder
/// TB-Ausbilder
 
Rootkit? - Hilfe bei Auswertung von gmer Log - Standard

Rootkit? - Hilfe bei Auswertung von gmer Log


Schön, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Falls du noch Lob oder Kritik loswerden möchtest, dann gibt es diesen Bereich hier: http://www.trojaner-board.de/lob-kritik-wuensche/
__________________
__________________
Antwort

Themen zu Rootkit? - Hilfe bei Auswertung von gmer Log
auswertung, dateien, firefox, forum, gdata, gmer, harddisk, log, log-file, malwarebytes, mozilla, neu, ntdll.dll, programme, registry, rootkit, rootkit gmer, rootkits, service pack 3, sp3, system, system32, temp, udp, virus, virustotal


« Nach XP-Start weisser Bildschirm :-( | System Care Antivirus auf Windows XP »


Ähnliche Themen: Rootkit? - Hilfe bei Auswertung von gmer Log


  1. GMer Analyse: Haben wir ein Rootkit?
    Log-Analyse und Auswertung - 20.04.2015 (20)
  2. GMER-Rootkit-Analyse !
    Log-Analyse und Auswertung - 05.11.2014 (6)
  3. GMER - Rootkit - Analayse
    Log-Analyse und Auswertung - 09.07.2014 (3)
  4. gmer log bei rootkit
    Log-Analyse und Auswertung - 21.12.2013 (7)
  5. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  6. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  7. Mit Gmer ein Rootkit gefunden, wie löschen?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (3)
  8. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  9. GMER Auswertung verdacht auf Rootkit
    Plagegeister aller Art und deren Bekämpfung - 08.09.2010 (14)
  10. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  11. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  12. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  13. Rootkit? (Bisher nur gmer-Log)
    Mülltonne - 08.02.2010 (2)
  14. Rootkit Untersuchung mit GMER
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (5)
  15. Frage zu Gmer Rootkit scanner
    Antiviren-, Firewall- und andere Schutzprogramme - 12.09.2009 (28)
  16. Hilfe bei gmer Log-File Auswertung
    Plagegeister aller Art und deren Bekämpfung - 12.01.2009 (3)
  17. Gmer rootkit, HJTscan erfolglos?
    Plagegeister aller Art und deren Bekämpfung - 13.11.2008 (0)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Rootkit? - Hilfe bei Auswertung von gmer Log - Hallo an alle, ich bin völlig neu hier, hatte aber vorher schon viele Beiträge im Forum durchsucht, leider keine passende Antwort erhalten. Meinen PC (XP, SP3) überprüfe ich einmal die - Rootkit? - Hilfe bei Auswertung von gmer Log...
Archiv
Du betrachtest: Rootkit? - Hilfe bei Auswertung von gmer Log auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129