Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: rootkit xnhruw Problem

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.02.2010, 13:36   #1
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



Hallo,

habe irgend so ein rootkit "xnhruw"

erst hats avira gefunden aber konnte es auch beim neustart nicht enfernen. Dann mit Malwarebytes aber auch damit konnte ich es nicht entfernen.

Jetzt hab ich GMER drüberlaufen lassen (allerdings nicht bis zum schluss, weil ich jetzt weg muss) und auch hier wurde rootkit "xnhruw" gefunden. kenn mich aber mit GMER nicht aus.

Wie entferne ich das drecks ding jetzt?

Mein Rechner:

Windows XP
Avira Antivir Personal Free

Ist mein Zweitrechner der total vollgemüllt ist und seit Jahren nicht formatiert =)

GMER:

Code:
ATTFilter
GMER 1.0.15.15281 - h**p://www.gmer.net
Rootkit scan 2010-02-07 13:22:35
Windows 5.1.2600 
Running: 3s2h04vi.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys


---- System - GMER 1.0.15 ----

SSDT            F8C56AFE                                                                                                   ZwCreateKey
SSDT            F8C56AF4                                                                                                   ZwCreateThread
SSDT            F8C56B03                                                                                                   ZwDeleteKey
SSDT            F8C56B0D                                                                                                   ZwDeleteValueKey
SSDT            F8C56B12                                                                                                   ZwLoadKey
SSDT            F8C56AE0                                                                                                   ZwOpenProcess
SSDT            F8C56AE5                                                                                                   ZwOpenThread
SSDT            F8C56B1C                                                                                                   ZwReplaceKey
SSDT            F8C56B17                                                                                                   ZwRestoreKey
SSDT            F8C56B08                                                                                                   ZwSetValueKey
SSDT            \??\C:\Programme\SUPERAntiSpyware\SASKUTIL.sys (SASKUTIL.SYS/SUPERAdBlocker.com and SUPERAntiSpyware.com)  ZwTerminateProcess [0xF631A0B0]

---- Kernel code sections - GMER 1.0.15 ----

.text           TUKERNEL.EXE!KeInitializeInterrupt + B79                                                                   804D4F8E 1 Byte  [06]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0                                                           804FC6C8 4 Bytes  [FE, 6A, C5, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0                                                           804FC6F8 4 Bytes  [F4, 6A, C5, F8] {HLT ; PUSH -0x3b; CLC }
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208                                                           804FC720 4 Bytes  [03, 6B, C5, F8] {ADD EBP, [EBX-0x3b]; CLC }
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210                                                           804FC728 4 Bytes  [0D, 6B, C5, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294                                                           804FC7AC 4 Bytes  [12, 6B, C5, F8] {ADC CH, [EBX-0x3b]; CLC }
.text           ...                                                                                                        
?               ecyti.sys                                                                                                  Das System kann die angegebene Datei nicht finden. !
INIT            xnhruw.sys                                                                                                 F83C0000 40 Bytes  [0C, 7A, 30, 7B, FD, 52, 56, ...]
INIT            xnhruw.sys                                                                                                 F83C003C 2 Bytes  [1A, 77]
INIT            xnhruw.sys                                                                                                 F83C0040 6 Bytes  [2D, 9C, C8, BF, 90, 71]
INIT            xnhruw.sys                                                                                                 F83C0048 2 Bytes  [9E, 71]
INIT            xnhruw.sys                                                                                                 F83C004C 2 Bytes  [B0, 71] {MOV AL, 0x71}
INIT            ...                                                                                                        
.pak2           C:\WINDOWS\system32\drivers\xnhruw.sys                                                                     entry point in ".pak2" section [0xF848F3B6]
?               C:\WINDOWS\system32\drivers\xnhruw.sys                                                                     Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE            Ntfs.sys                                                                                                   F82F624E 4 Bytes  CALL 81FAD799 

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                     81F72E00

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                     avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
AttachedDevice  \FileSystem\Fastfat \Fat                                                                                   avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                         [BOOT] xnhruw                                                        <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type                                                         1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start                                                        0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl                                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group                                                        Boot Bus Extender
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type                                                             1
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start                                                            0
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl                                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group                                                            Boot Bus Extender
         

Alt 07.02.2010, 19:59   #2
Chris4You
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



Hi,

wir probieren einen Schnellschuß...


Anleitung Avenger (by swandog46)

1.) Ladet das Tool Avenger und speichere es auf dem Desktop:
(Alternativ umbennant von hier:http://www.file-upload.net/download-2170195/av_en_ger_le.exe.html)



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Drivers to delete:
xnhruw.sys
         
3.) Schliesst alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach Ausführen des Avengers wird das System neu gestartet.

4.) Um Avenger zu starten klicke auf -> Execute
Dann bestätigt mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest ihr hier einen Report von Avenger -> C:\avenger.txt
Öffnet die Datei mit dem Editor und kopiert den gesamten Text in Euren Beitrag hier am Trojaner-Board.

Nun bitte sofort MAM starten, Fullscann und alles bereinigen lassen, Log posten:
Startet MAM immer noch nicht, in das Installationsverzeichnis von MAM wechseln und die EXE von MAM (mbam.exe)
auf z. B. test.exe umbenennen und durch Doppelklick starten. Nach Beendigung des Scanns (und MAM) nennt ihr sie
auf den ursprünglichen Namen (mbam.exe) zurück.

chris
__________________

__________________

Alt 07.02.2010, 22:07   #3
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



Hi,

danke für die schnelle Antwort. Soweit alles klar bis auf deinen letzen Abschnitt...was ist MAM oder mbam.exe?

lg bastyyy
__________________

Alt 08.02.2010, 07:31   #4
Chris4You
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



Hi,

hast Du schonauf dem Rechner, MAM=Malwarebytes...

Poste das Avengerlog und MAM-Log...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 08.02.2010, 22:12   #5
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



OK. werde es erst in ein oder zwei wochen testen können, da der rechner nicht in meiner aktuellen wohnung steht und ich dann erst wieder vor ort bin. ich berichte dann ob es geklappt hat oder nicht.

danke schonmal


Alt 15.05.2010, 13:06   #6
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



So hat ne weile gedauert aber habs jetzt mal gemacht ...

Code:
ATTFilter
//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Sat May 15 13:59:18 2010

13:59:18: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600)
Sat May 15 13:59:29 2010

13:59:29: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\xnhruw.sys" not found!
Deletion of driver "xnhruw.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
Scheint nix gefunden zu haben^^

Jetzt lass ich noch MAM drüberlaufen

Alt 15.05.2010, 14:40   #7
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



Hallo,

mbam log:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3697
Windows 5.1.2600
Internet Explorer 6.0.2600.0000

15.05.2010 15:38:23
mbam-log-2010-05-15 (15-38-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 216677
Laufzeit: 1 hour(s), 27 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{11752E62-A0E0-46FF-BB18-18EFAE375546}\RP193\A0020435.exe (Trojan.Banker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\xnhruw.sys (Rootkit.Agent) -> Delete on reboot.
         
Was soll ich als nächstes machen?????

Alt 15.05.2010, 16:42   #8
bastyyy
 
rootkit xnhruw Problem - Standard

rootkit xnhruw Problem



So und als letztes noch Gmer. Was kann ich nun machen um den dreck zu beseitigen?? Bitte helft mir

Code:
ATTFilter
GMER 1.0.15.15281 - hxxp://www.gmer.net
Rootkit scan 2010-05-15 17:41:12
Windows 5.1.2600 
Running: q442tzn9.exe; Driver: C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\pxliypow.sys


---- System - GMER 1.0.15 ----

SSDT            F8B8A9DE                                                    ZwCreateKey
SSDT            F8B8A9D4                                                    ZwCreateThread
SSDT            F8B8A9E3                                                    ZwDeleteKey
SSDT            F8B8A9ED                                                    ZwDeleteValueKey
SSDT            F8B8A9F2                                                    ZwLoadKey
SSDT            F8B8A9C0                                                    ZwOpenProcess
SSDT            F8B8A9C5                                                    ZwOpenThread
SSDT            F8B8A9FC                                                    ZwReplaceKey
SSDT            F8B8A9F7                                                    ZwRestoreKey
SSDT            F8B8A9E8                                                    ZwSetValueKey
SSDT            F8B8A9CF                                                    ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           TUKERNEL.EXE!KeInitializeInterrupt + B79                    804D4F8E 1 Byte  [06]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1B0            804FC6C8 4 Bytes  [DE, A9, B8, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 1E0            804FC6F8 4 Bytes  [D4, A9, B8, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 208            804FC720 4 Bytes  [E3, A9, B8, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 210            804FC728 4 Bytes  [ED, A9, B8, F8]
.text           TUKERNEL.EXE!KeI386Call16BitCStyleFunction + 294            804FC7AC 4 Bytes  [F2, A9, B8, F8]
.text           ...                                                         
INIT            xnhruw.sys                                                  F83C3000 40 Bytes  [F6, F5, 1C, 2C, 4B, AF, 56, ...]
INIT            xnhruw.sys                                                  F83C303C 2 Bytes  [1A, 77]
INIT            xnhruw.sys                                                  F83C3040 6 Bytes  [2E, CE, 65, 1B, 90, 71]
INIT            xnhruw.sys                                                  F83C3048 2 Bytes  [9E, 71]
INIT            xnhruw.sys                                                  F83C304C 2 Bytes  [B0, 71] {MOV AL, 0x71}
INIT            ...                                                         
.pak2           C:\WINDOWS\system32\drivers\xnhruw.sys                      entry point in ".pak2" section [0xF848413D]
?               C:\WINDOWS\system32\drivers\xnhruw.sys                      Ein an das System angeschlossenes Gerät funktioniert nicht.
PAGE            Ntfs.sys                                                    F82F924E 4 Bytes  CALL 81FAE889 

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                      81FEB068

AttachedDevice  \FileSystem\Ntfs \Ntfs                                      avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                          [BOOT] xnhruw                                                        <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Type          1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Start         0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@ErrorControl  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\xnhruw@Group         Boot Bus Extender
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Type              1
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Start             0
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@ErrorControl      0
Reg             HKLM\SYSTEM\ControlSet002\Services\xnhruw@Group             Boot Bus Extender

---- EOF - GMER 1.0.15 ----
         

Antwort

Themen zu rootkit xnhruw Problem
0 bytes, antivir, avg, avira, boot, c:\windows, code, controlset002, datei, driver, filter, funktioniert, gmer, malwarebytes, neustart, problem, programme, rechner, registry, rootkit, scan, services, superantispyware, system, system32, temp, total



Ähnliche Themen: rootkit xnhruw Problem


  1. Problem oder nicht? Avast nach Update -Rootkit-Fund
    Plagegeister aller Art und deren Bekämpfung - 12.12.2014 (3)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. Problem mit Heuristic.Possible.MBR.Rootkit (A)
    Log-Analyse und Auswertung - 14.11.2012 (1)
  4. Avast RootKit Scanner Ergebnis: ntoskernel.exe Problem!
    Log-Analyse und Auswertung - 19.10.2012 (51)
  5. Problem mit Trojaner Sirefef und Small und Rootkit.0Access
    Log-Analyse und Auswertung - 29.06.2012 (22)
  6. Problem mit Rootkit BOO/TDss.O
    Log-Analyse und Auswertung - 06.05.2012 (8)
  7. Rootkit Problem - PC startet weder IE, noch Thunderbird und Firefox (nur ganz selten) oder Links fe
    Log-Analyse und Auswertung - 21.11.2011 (9)
  8. Firefox Problem, Rootkit?
    Log-Analyse und Auswertung - 29.04.2011 (12)
  9. Problem nach Anti-Malware Doctor: MEM:Rootkit.Win32.TDSS.fa
    Plagegeister aller Art und deren Bekämpfung - 25.12.2010 (1)
  10. 40 Tan Problem + TDSSv Rootkit
    Plagegeister aller Art und deren Bekämpfung - 29.10.2010 (11)
  11. Schweres Problem -Rootkit wahrscheinlich
    Log-Analyse und Auswertung - 18.03.2010 (3)
  12. Rootkit problem - Wie krieg ich de Dreck weg?
    Plagegeister aller Art und deren Bekämpfung - 12.03.2010 (40)
  13. RootKit Problem
    Log-Analyse und Auswertung - 19.09.2009 (13)
  14. Problem mit TR/Crypt.ZPACK und Rootkit.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.09.2009 (18)
  15. klif mini filter fre_wnet_x86/rootkit problem
    Plagegeister aller Art und deren Bekämpfung - 31.01.2009 (0)
  16. Problem mit Rootkit/updates werden nicht durchgeführt
    Log-Analyse und Auswertung - 21.10.2008 (1)
  17. Rootkit Agent.q Problem!
    Log-Analyse und Auswertung - 20.07.2005 (1)

Zum Thema rootkit xnhruw Problem - Hallo, habe irgend so ein rootkit "xnhruw" erst hats avira gefunden aber konnte es auch beim neustart nicht enfernen. Dann mit Malwarebytes aber auch damit konnte ich es nicht entfernen. - rootkit xnhruw Problem...
Archiv
Du betrachtest: rootkit xnhruw Problem auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.