Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
gmer zeigte rootkit-like behavior an

gmer zeigte rootkit-like behavior an


Plagegeister aller Art und deren Bekämpfung: gmer zeigte rootkit-like behavior an

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.09.2010, 15:01   #1
baby2003
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Hallo,

vor ein paar Monaten hatte ich mir einen Trojaner eingefangen und daraufhin meinen PC neuaufgesetzt.

Vor ein paar Tagen habe ich mir das kostenlose Nero von der SVCD2DVD Homepage runtergeladen, es liess sich aber nicht öffnen, deshalb wollte ich es wieder deistallieren, was aber irgendwie nicht geht, es wird immer wieder eine neue Datei in einem Ordner gebildet, auch ein Cleaner hat es nicht wegbekommen.

Dann habe ich mir das kostenpflichtige SVCD2DVD Programm zugelegt, doch beim Brennen hat sich Imgburn bei Searching for SCSI / ATAPI devices immer wieder aufgehängt und der PC hatte Probleme beim Runter und Hochfahren.

Dann habe ich ein Gmer-Log erstellt und rootkit-like behavior in den Harddisk Device Sectors gefunden.
Alle anderen Programme Hijack this, Malwarebytes, SuperAntispyware und Avira haben nichts gefunden.
Heute habe ich das GMER nochmal gemacht und in diesem Log sind aber die Harddisk Device Sectors nicht mehr mit aufgeführt.

Hier die beiden GMER log
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2010-09-06 00:17:42
Windows 6.1.7600 
 
 
---- System - GMER 1.0.15 ----
 
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C35AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C35104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C353F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C1D634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C1D898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C351DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C35958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C356F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C35F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82C361A8
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 8284E599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82872F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text peauth.sys 9821AC9D 28 Bytes [1E, A6, 69, CC, D8, A5, EF, ...]
.text peauth.sys 9821ACC1 28 Bytes [1E, A6, 69, CC, D8, A5, EF, ...]
 
---- User code sections - GMER 1.0.15 ----
 
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!CharToOemA + 3A 7709B1DE 7 Bytes JMP 1004BF70 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!PostMessageW + 2CE 770A64F3 7 Bytes JMP 1004BE30 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!SetDlgItemTextA + 25 770B8FF6 7 Bytes JMP 1004BF50 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!MessageBoxIndirectA + F5 770EE9BE 7 Bytes JMP 1004BFC0 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!MessageBoxIndirectW + 61 770EEA24 7 Bytes JMP 1004C090 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2380] USER32.dll!MessageBoxExA + 1F 770EEA48 7 Bytes JMP 1004C040 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
 
---- User IAT/EAT - GMER 1.0.15 ----
 
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [743B2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74395624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743956E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [743B250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [743A8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [743A4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743A50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743A51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [743A66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [743A82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [743A8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [743A907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [743AE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1532] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [743A4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2356] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [75765E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
 
---- Devices - GMER 1.0.15 ----
 
Device \Driver\ACPI_HAL \Device\00000045 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\000a94022b58 
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\000a94022b58 
 
---- Disk sectors - GMER 1.0.15 ----
 
Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR
 
---- EOF - GMER 1.0.15 ----
--- --- ---




und dann das von heute:
GMER Logfile:
Code:
ATTFilter
GMER 1.0.15.14966 - hxxp://www.gmer.net
Rootkit scan 2010-09-07 15:24:00
Windows 6.1.7600 
 
 
---- System - GMER 1.0.15 ----
 
INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E31AF8
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E31104
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E313F4
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E19634
INT 0xD2 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E19898
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E311DC
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E31958
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E316F8
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E31F2C
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 82E321A8
 
---- Kernel code sections - GMER 1.0.15 ----
 
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 82A4A599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 82A6EF52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text peauth.sys 99840C9D 28 Bytes [04, AC, 79, EC, 98, 25, A4, ...]
.text peauth.sys 99840CC1 28 Bytes [04, AC, 79, EC, 98, 25, A4, ...]
 
---- User code sections - GMER 1.0.15 ----
 
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!CharToOemA + 3A 7729B1DE 7 Bytes JMP 1004BF70 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!PostMessageW + 2CE 772A64F3 7 Bytes JMP 1004BE30 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!SetDlgItemTextA + 25 772B8FF6 7 Bytes JMP 1004BF50 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!MessageBoxIndirectA + F5 772EE9BE 7 Bytes JMP 1004BFC0 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!MessageBoxIndirectW + 61 772EEA24 7 Bytes JMP 1004C090 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2336] USER32.dll!MessageBoxExA + 1F 772EEA48 7 Bytes JMP 1004C040 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
 
---- User IAT/EAT - GMER 1.0.15 ----
 
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [74382494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [74365624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [743656E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [7438250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [74378573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74374D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [743750CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [743751A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP] [743766D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [743782CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [74378819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7437907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [7437E21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Windows\Explorer.EXE[1752] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [74374C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[2316] @ C:\Windows\system32\Secur32.dll [KERNEL32.dll!GetProcAddress] [75645E25] C:\Windows\system32\apphelp.dll (Clientbibliothek für Anwendungskompatibilität/Microsoft Corporation)
 
---- Devices - GMER 1.0.15 ----
 
Device \Driver\ACPI_HAL \Device\00000046 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
 
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
 
---- Registry - GMER 1.0.15 ----
 
Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\000a94022b58 
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\000a94022b58 
 
---- EOF - GMER 1.0.15 ----
--- --- ---




Ich weiß jetzt wirklich nicht mehr, was das Ganze zu bedeuten hat und ob ich infiziert bin oder nicht.

Kann mir vielleicht irgendjemand weiterhelfen?

Alt 07.09.2010, 15:25   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Downloade Dir bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes
__________________

__________________
Alt 07.09.2010, 15:35   #3
baby2003
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


danke für die schnelle hilfe!

hier das log

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows 7 Ultimate Edition
Windows Information: (build 7600), 32-bit
Base Board Manufacturer: MSI
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: MSI
System Product Name: MS-7369
Logical Drives Mask: 0x0000001d

Kernel Drivers (total 152):
0x82A07000 \SystemRoot\system32\ntkrnlpa.exe
0x82E17000 \SystemRoot\system32\halmacpi.dll
0x80BD2000 \SystemRoot\system32\kdcom.dll
0x88612000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
0x8861D000 \SystemRoot\system32\PSHED.dll
0x8862E000 \SystemRoot\system32\BOOTVID.dll
0x88636000 \SystemRoot\system32\CLFS.SYS
0x88678000 \SystemRoot\system32\CI.dll
0x88723000 \SystemRoot\system32\drivers\Wdf01000.sys
0x88794000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x887A2000 \SystemRoot\system32\DRIVERS\ACPI.sys
0x887EA000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
0x887F3000 \SystemRoot\system32\DRIVERS\msisadrv.sys
0x8880D000 \SystemRoot\system32\DRIVERS\pci.sys
0x88837000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
0x88842000 \SystemRoot\System32\drivers\partmgr.sys
0x88853000 \SystemRoot\system32\DRIVERS\volmgr.sys
0x88863000 \SystemRoot\System32\drivers\volmgrx.sys
0x888AE000 \SystemRoot\system32\DRIVERS\pciide.sys
0x888B5000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
0x888C3000 \SystemRoot\System32\drivers\mountmgr.sys
0x888D9000 \SystemRoot\system32\DRIVERS\atapi.sys
0x888E2000 \SystemRoot\system32\DRIVERS\ataport.SYS
0x88905000 \SystemRoot\system32\DRIVERS\amdxata.sys
0x8890E000 \SystemRoot\system32\drivers\fltmgr.sys
0x88942000 \SystemRoot\system32\drivers\fileinfo.sys
0x88A08000 \SystemRoot\System32\Drivers\Ntfs.sys
0x88B37000 \SystemRoot\System32\Drivers\msrpc.sys
0x88B62000 \SystemRoot\System32\Drivers\ksecdd.sys
0x88B75000 \SystemRoot\System32\Drivers\cng.sys
0x88BD2000 \SystemRoot\System32\drivers\pcw.sys
0x88BE0000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x88C12000 \SystemRoot\system32\drivers\ndis.sys
0x88CC9000 \SystemRoot\system32\drivers\NETIO.SYS
0x88D07000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x88E19000 \SystemRoot\System32\drivers\tcpip.sys
0x88F62000 \SystemRoot\System32\drivers\fwpkclnt.sys
0x88F93000 \SystemRoot\system32\DRIVERS\vmstorfl.sys
0x88F9C000 \SystemRoot\system32\DRIVERS\volsnap.sys
0x88FDB000 \SystemRoot\System32\Drivers\spldr.sys
0x88D2C000 \SystemRoot\System32\drivers\rdyboost.sys
0x88FE3000 \SystemRoot\System32\Drivers\mup.sys
0x88FF3000 \SystemRoot\System32\drivers\hwpolicy.sys
0x88D59000 \SystemRoot\System32\DRIVERS\fvevol.sys
0x88E00000 \SystemRoot\system32\DRIVERS\disk.sys
0x88D8B000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
0x88953000 \SystemRoot\system32\DRIVERS\cdrom.sys
0x88E11000 \SystemRoot\System32\Drivers\Null.SYS
0x88DE2000 \SystemRoot\System32\Drivers\Beep.SYS
0x88DE9000 \SystemRoot\System32\drivers\vga.sys
0x88972000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
0x88C00000 \SystemRoot\System32\drivers\watchdog.sys
0x88DF5000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0x88BE9000 \SystemRoot\system32\drivers\rdpencdd.sys
0x88BF1000 \SystemRoot\system32\drivers\rdprefmp.sys
0x88993000 \SystemRoot\System32\Drivers\Msfs.SYS
0x8899E000 \SystemRoot\System32\Drivers\Npfs.SYS
0x889AC000 \SystemRoot\system32\DRIVERS\tdx.sys
0x889C3000 \SystemRoot\system32\DRIVERS\TDI.SYS
0x8D409000 \SystemRoot\system32\drivers\afd.sys
0x8D463000 \SystemRoot\System32\DRIVERS\netbt.sys
0x8D495000 \SystemRoot\system32\DRIVERS\wfplwf.sys
0x8D49C000 \SystemRoot\system32\DRIVERS\pacer.sys
0x8D4BB000 \SystemRoot\system32\DRIVERS\netbios.sys
0x8D4C9000 \SystemRoot\system32\DRIVERS\serial.sys
0x8D4E3000 \SystemRoot\system32\DRIVERS\wanarp.sys
0x8D4F6000 \SystemRoot\system32\DRIVERS\termdd.sys
0x8D506000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
0x8D50C000 \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS
0x8D52E000 \??\C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS
0x8D534000 \SystemRoot\system32\DRIVERS\rdbss.sys
0x8D575000 \SystemRoot\system32\drivers\nsiproxy.sys
0x8D57F000 \SystemRoot\system32\DRIVERS\mssmbios.sys
0x8D589000 \SystemRoot\System32\drivers\discache.sys
0x8D595000 \SystemRoot\system32\drivers\csc.sys
0x889CE000 \SystemRoot\System32\Drivers\dfsc.sys
0x889E6000 \SystemRoot\system32\DRIVERS\blbdrive.sys
0x8E036000 \SystemRoot\system32\DRIVERS\avipbb.sys
0x8E058000 \SystemRoot\system32\DRIVERS\tunnel.sys
0x8E079000 \SystemRoot\system32\DRIVERS\amdk8.sys
0x8E08B000 \SystemRoot\system32\DRIVERS\serenum.sys
0x8E095000 \SystemRoot\system32\DRIVERS\fdc.sys
0x8E0A0000 \SystemRoot\system32\DRIVERS\parport.sys
0x8E0B8000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0x8E0D0000 \SystemRoot\system32\DRIVERS\mouclass.sys
0x8E0DD000 \SystemRoot\system32\DRIVERS\usbohci.sys
0x8E0E7000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0x8E132000 \SystemRoot\system32\DRIVERS\usbehci.sys
0x8E141000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
0x8E160000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
0x8EE17000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys
0x8E603000 \SystemRoot\System32\drivers\dxgkrnl.sys
0x8E6BA000 \SystemRoot\System32\drivers\dxgmms1.sys
0x8E6F3000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
0x8E700000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
0x8E712000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
0x8E72A000 \SystemRoot\system32\DRIVERS\ndistapi.sys
0x8E735000 \SystemRoot\system32\DRIVERS\ndiswan.sys
0x8E757000 \SystemRoot\system32\DRIVERS\raspppoe.sys
0x8E76F000 \SystemRoot\system32\DRIVERS\raspptp.sys
0x8E786000 \SystemRoot\system32\DRIVERS\rassstp.sys
0x8E79D000 \SystemRoot\system32\DRIVERS\rdpbus.sys
0x8E7A7000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0x8E7B4000 \SystemRoot\system32\DRIVERS\swenum.sys
0x8E7B6000 \SystemRoot\system32\DRIVERS\ks.sys
0x8E7EA000 \SystemRoot\system32\DRIVERS\umbus.sys
0x8F77D000 \SystemRoot\system32\DRIVERS\flpydisk.sys
0x8F787000 \SystemRoot\system32\DRIVERS\usbhub.sys
0x8F7CB000 \SystemRoot\System32\Drivers\NDProxy.SYS
0x8E185000 \SystemRoot\system32\drivers\HdAudio.sys
0x8E000000 \SystemRoot\system32\drivers\portcls.sys
0x8F7DC000 \SystemRoot\system32\drivers\drmk.sys
0x8EE00000 \SystemRoot\system32\DRIVERS\usbccgp.sys
0x8E7F8000 \SystemRoot\system32\DRIVERS\USBD.SYS
0x93BB0000 \SystemRoot\System32\win32k.sys
0x8F7F5000 \SystemRoot\System32\drivers\Dxapi.sys
0x8E1D5000 \SystemRoot\system32\DRIVERS\hidusb.sys
0x8E1E0000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
0x8E1F3000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
0x88DB0000 \SystemRoot\system32\DRIVERS\kbdhid.sys
0x88DBC000 \SystemRoot\system32\DRIVERS\monitor.sys
0x93A10000 \SystemRoot\System32\TSDDD.dll
0x93A40000 \SystemRoot\System32\cdd.dll
0x82409000 \SystemRoot\system32\DRIVERS\udfs.sys
0x82449000 \SystemRoot\System32\Drivers\crashdmp.sys
0x82456000 \SystemRoot\System32\Drivers\dump_dumpata.sys
0x82461000 \SystemRoot\System32\Drivers\dump_atapi.sys
0x8246A000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
0x8247B000 \SystemRoot\system32\drivers\luafv.sys
0x82496000 \SystemRoot\system32\DRIVERS\avgntflt.sys
0x824AB000 \SystemRoot\system32\drivers\WudfPf.sys
0x824C5000 \SystemRoot\system32\DRIVERS\lltdio.sys
0x824D5000 \SystemRoot\system32\DRIVERS\rspndr.sys
0x824E8000 \SystemRoot\system32\drivers\HTTP.sys
0x8256D000 \SystemRoot\system32\DRIVERS\bowser.sys
0x82586000 \SystemRoot\System32\drivers\mpsdrv.sys
0x82598000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
0x825BB000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
0x88DC7000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
0x825F6000 \SystemRoot\system32\DRIVERS\parvdm.sys
0x88600000 \SystemRoot\system32\drivers\npf.sys
0x9983B000 \SystemRoot\system32\drivers\peauth.sys
0x998D2000 \SystemRoot\System32\Drivers\secdrv.SYS
0x998DC000 \SystemRoot\System32\DRIVERS\srvnet.sys
0x998FD000 \SystemRoot\System32\drivers\tcpipreg.sys
0x9990A000 \SystemRoot\System32\DRIVERS\srv2.sys
0x99959000 \SystemRoot\System32\DRIVERS\srv.sys
0x999AA000 \??\C:\Users\Maus\AppData\Local\Temp\sssxaula.sys
0x775A0000 \Windows\System32\ntdll.dll
0x478E0000 \Windows\System32\smss.exe
0x777E0000 \Windows\System32\apisetschema.dll
0x00C40000 \Windows\System32\autochk.exe

Processes (total 59):
0 System Idle Process
4 System
264 C:\Windows\System32\smss.exe
360 csrss.exe
420 C:\Windows\System32\wininit.exe
436 csrss.exe
472 C:\Windows\System32\services.exe
488 C:\Windows\System32\lsass.exe
496 C:\Windows\System32\lsm.exe
564 C:\Windows\System32\winlogon.exe
660 C:\Windows\System32\svchost.exe
760 C:\Windows\System32\svchost.exe
824 C:\Windows\System32\svchost.exe
896 C:\Windows\System32\svchost.exe
940 C:\Windows\System32\svchost.exe
1092 C:\Windows\System32\svchost.exe
1208 C:\Windows\System32\svchost.exe
1360 C:\Windows\System32\spoolsv.exe
1388 C:\Program Files\Avira\AntiVir Desktop\sched.exe
1412 C:\Windows\System32\svchost.exe
1568 C:\Windows\System32\taskhost.exe
1704 C:\Windows\System32\dwm.exe
1752 C:\Windows\explorer.exe
1888 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
1932 C:\Windows\System32\svchost.exe
2024 C:\Windows\System32\svchost.exe
112 C:\Windows\System32\svchost.exe
280 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
368 C:\Windows\System32\conhost.exe
1012 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
1656 C:\Windows\System32\svchost.exe
1764 C:\Windows\System32\svchost.exe
2232 C:\Program Files\FreePDF_XP\fpassist.exe
2256 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
2280 C:\Program Files\HP\HP Software Update\hpwuschd2.exe
2288 C:\Program Files\Common Files\Java\Java Update\jusched.exe
2316 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
2324 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
2336 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
2428 C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
2540 C:\Program Files\OpenOffice.org 3\program\soffice.exe
2548 C:\Program Files\OpenOffice.org 3\program\soffice.bin
2916 C:\Windows\System32\svchost.exe
2952 C:\Windows\System32\SearchIndexer.exe
3500 C:\Program Files\Windows Media Player\wmpnetwk.exe
3696 C:\Windows\System32\svchost.exe
3752 C:\Program Files\Windows Live\Contacts\wlcomm.exe
4084 C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe
2532 C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
2492 C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
1652 C:\Windows\System32\svchost.exe
3612 C:\Program Files\Mozilla Firefox\firefox.exe
3576 C:\Program Files\Mozilla Thunderbird\thunderbird.exe
3320 C:\Windows\System32\SearchProtocolHost.exe
3564 C:\Windows\System32\SearchFilterHost.exe
1292 C:\Windows\System32\audiodg.exe
616 C:\Users\Maus\Desktop\MBRCheck.exe
1512 C:\Windows\System32\conhost.exe
3136 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x0000001d`4c130200 (NTFS)
\\.\D: --> \\.\PhysicalDrive0 at offset 0x00000009`c3dcd400 (NTFS)

PhysicalDrive0 Model Number: SAMSUNGHD161HJ, Rev: JF100-19

Size Device Name MBR Status
--------------------------------------------
149 GB \\.\PhysicalDrive0 Windows 7 MBR code detected
SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!
__________________
Alt 07.09.2010, 15:42   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 07.09.2010, 17:33   #5
baby2003
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


ok, also hier SuperAntiSpyware

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/07/2010 at 06:12 PM

Application Version : 4.37.1000

Core Rules Database Version : 5463
Trace Rules Database Version: 3275

Scan type : Complete Scan
Total Scan Time : 00:25:05

Memory items scanned : 527
Memory threats detected : 0
Registry items scanned : 6562
Registry threats detected : 0
File items scanned : 38432
File threats detected : 4

Adware.Tracking Cookie
C:\Users\Maus\AppData\Roaming\Microsoft\Windows\Cookies\maus@atdmt[3].txt
C:\Users\Maus\AppData\Local\Temp\Cookies\maus@atdmt[2].txt
C:\Users\Maus\AppData\Roaming\Microsoft\Windows\Cookies\maus@atdmt[2].txt
C:\Users\Maus\AppData\Roaming\Microsoft\Windows\Cookies\maus@doubleclick[1].txt


und noch Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4562

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07.09.2010 17:40:54
mbam-log-2010-09-07 (17-40-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 206768
Laufzeit: 27 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


sieht ja sauber aus...

ich hätte da aber jetzt noch eine Frage, ich hab mir gestern noch den offene Ports Scanner nmap installiert und der hat mir den Port 6060 angezeigt, der aber laut meiner Fritzbox nicht offen ist, und bei dem erweiterten UDP Scan hat das Programm irgendwann abgebrochen und musste beendet werden.
Hat das irgendwas zu bedeuten?


Alt 07.09.2010, 19:23   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Zitat:
ich hätte da aber jetzt noch eine Frage, ich hab mir gestern noch den offene Ports Scanner nmap installiert und der hat mir den Port 6060 angezeigt
Poste die Ausgabe mal komplett.
__________________
--> gmer zeigte rootkit-like behavior an

Alt 07.09.2010, 20:20   #7
baby2003
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Die Scanns sind leider nicht mehr drin, hatte mich aus der Erinnerung heraus auch vertan, war Port 5060 nicht 6060, lasse es gerade nochmal laufen und poste es dann mal.

Alt 07.09.2010, 20:57   #8
baby2003
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


jetzt hat es wieder abgebrochen, hier der scanbericht

Starting Nmap 5.20 ( hxxp://nmap.org ) at 2010-09-07 21:09 Mitteleuropäische Sommerzeit

NSE: Loaded 36 scripts for scanning.

Initiating Ping Scan at 21:09

Scanning 91.11.242.190 [8 ports]

Completed Ping Scan at 21:09, 0.06s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 21:09

Completed Parallel DNS resolution of 1 host. at 21:09, 0.07s elapsed

Initiating SYN Stealth Scan at 21:09

Scanning p5B0BF2BE.dip.t-dialin.net (91.11.242.190) [1000 ports]

Discovered open port 5060/tcp on 91.11.242.190

Completed SYN Stealth Scan at 21:09, 18.36s elapsed (1000 total ports)

Initiating UDP Scan at 21:09

Scanning p5B0BF2BE.dip.t-dialin.net (91.11.242.190) [1000 ports]

Completed UDP Scan at 21:09, 4.00s elapsed (1000 total ports)

Initiating Service scan at 21:09

Scanning 998 services on p5B0BF2BE.dip.t-dialin.net (91.11.242.190)

Service scan Timing: About 0.30% done

Service scan Timing: About 3.21% done; ETC: 22:30 (1:17:59 remaining)

Service scan Timing: About 6.21% done; ETC: 22:12 (0:58:38 remaining)

Service scan Timing: About 9.22% done; ETC: 22:05 (0:50:53 remaining)

Service scan Timing: About 12.22% done; ETC: 22:02 (0:46:26 remaining)

Service scan Timing: About 15.23% done; ETC: 22:00 (0:43:08 remaining)

Service scan Timing: About 18.24% done; ETC: 21:59 (0:40:35 remaining)

Service scan Timing: About 21.34% done; ETC: 21:58 (0:38:05 remaining)

Service scan Timing: About 27.15% done; ETC: 21:52 (0:31:29 remaining)

Service scan Timing: About 27.35% done; ETC: 21:56 (0:34:18 remaining)

Service scan Timing: About 33.17% done; ETC: 21:52 (0:28:51 remaining)

Service scan Timing: About 39.18% done; ETC: 21:52 (0:26:14 remaining)

Service scan Timing: About 45.19% done; ETC: 21:52 (0:23:38 remaining)

Service scan Timing: About 51.20% done; ETC: 21:52 (0:21:02 remaining)

Service scan Timing: About 57.21% done; ETC: 21:52 (0:18:27 remaining)

Service scan Timing: About 63.23% done; ETC: 21:52 (0:15:51 remaining)

Service scan Timing: About 69.24% done; ETC: 21:52 (0:13:15 remaining)

Service scan Timing: About 75.25% done; ETC: 21:52 (0:10:40 remaining)

Service scan Timing: About 81.26% done; ETC: 21:52 (0:08:04 remaining)

Service scan Timing: About 87.27% done; ETC: 21:52 (0:05:29 remaining)

Service scan Timing: About 93.29% done; ETC: 21:52 (0:02:54 remaining)

Completed Service scan at 21:53, 2637.10s elapsed (998 services on 1 host)

Initiating OS detection (try #1) against p5B0BF2BE.dip.t-dialin.net (91.11.242.190)

Retrying OS detection (try #2) against p5B0BF2BE.dip.t-dialin.net (91.11.242.190)

Initiating Traceroute at 21:53

Completed Traceroute at 21:53, 0.06s elapsed

Initiating Parallel DNS resolution of 2 hosts. at 21:53

Completed Parallel DNS resolution of 2 hosts. at 21:53, 0.00s elapsed

NSE: Script scanning 91.11.242.190.

NSE: Script Scanning completed.

Nmap scan report for p5B0BF2BE.dip.t-dialin.net (91.11.242.190)

Assertion failed: row < numRows, file ..\NmapOutputTable.cc, line 153



This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.

Alt 08.09.2010, 12:27   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
gmer zeigte rootkit-like behavior an - Standard

gmer zeigte rootkit-like behavior an


Zitat:
Discovered open port 5060/tcp on 91.11.242.190
Das ist Port 5060 und nicht 6060! 5060/tcp ist für SIP (IP-Telephonie)!
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu gmer zeigte rootkit-like behavior an
aufgehängt, avira, controlset002, crypt, down, dvd, explorer.exe, gmer-log, harddisk, hijack, hijack this, homepage, infiziert, locker, malwarebytes, messenger, neue, nicht öffnen, ordner, probleme, programm, programme, registry, scan, secur, software, superantispyware, system, system32, trojaner, trojaner eingefangen


« 20 Tan Trojaner Deutsche Bank | Schadprogramme auf Computer Bild 2/2010 - Beurteilung? »


Ähnliche Themen: gmer zeigte rootkit-like behavior an


  1. GMER-Rootkit-Analyse !
    Log-Analyse und Auswertung - 05.11.2014 (6)
  2. GMER - Rootkit - Analayse
    Log-Analyse und Auswertung - 09.07.2014 (3)
  3. gmer log bei rootkit
    Log-Analyse und Auswertung - 21.12.2013 (7)
  4. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  5. Disk \Device\Harddisk0\DR0 sector 0: rootkit-like behavior, und einiges mehr!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (6)
  6. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  7. Mit Gmer ein Rootkit gefunden, wie löschen?
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (3)
  8. GMER hat Rootkit gefunden (vdrv1000.sys)
    Plagegeister aller Art und deren Bekämpfung - 15.02.2011 (5)
  9. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  10. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  11. gmer logfile: sector 63: rootkit-like behavior; copy of MBR
    Plagegeister aller Art und deren Bekämpfung - 19.05.2010 (3)
  12. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  13. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  14. Rootkit? (Bisher nur gmer-Log)
    Mülltonne - 08.02.2010 (2)
  15. Rootkit Untersuchung mit GMER
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (5)
  16. Frage zu Gmer Rootkit scanner
    Antiviren-, Firewall- und andere Schutzprogramme - 12.09.2009 (28)
  17. Frage zu GMER Rootkit Scan
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2009 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema gmer zeigte rootkit-like behavior an - Hallo, vor ein paar Monaten hatte ich mir einen Trojaner eingefangen und daraufhin meinen PC neuaufgesetzt. Vor ein paar Tagen habe ich mir das kostenlose Nero von der SVCD2DVD Homepage - gmer zeigte rootkit-like behavior an...
Archiv
Du betrachtest: gmer zeigte rootkit-like behavior an auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58