Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rootkit-Infektion

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 03.02.2013, 14:05   #1
Oligitim
 
Rootkit-Infektion - Standard

Rootkit-Infektion



Guten Tag,

ich habe einen Laptop mit Windows 7 und als Sicherheitssoftware die Norton Suite, die keine Warnung gegeben hat.
Ein Scan mit Malwarebytes war ohne Befund, aber ein gmer-scan gab eine Warnung aus und rootkit-buster fand zwei verdächtige Einträge (siehe Protokoll).

Bin ich infiziert, was wäre zu tun ?

Gruß und Dank im voraus

Oligitim

+----------------------------------------------------
| Trend Micro RootkitBuster
| Module version: 5.0.0.1061
| Computer Name: xxxxxxxxxxxx
| OS version: 6.1-7601
| User Name: xxxxxxxxxxxxxxxxx
+-----------------------------------------------


--== Dump Hidden MBR, Hidden Files and Alternate Data Streams on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
[HIDDEN_REGISTRY][Hidden Reg Key]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\002556c9a405
SubKey : 002556c9a405
FullLength: 89
[HIDDEN_REGISTRY][Hidden Reg Value]:
KeyPath : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc\Parameters\PortKeywords\Teredo
Root : 738b0ac
SubKey : Teredo
ValueName : Collection
Data : D4 FC 1 0 D8 D 1 0
ValueType : 3
AccessType: 0
FullLength: 90
DataSize : 8
2 hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.

--== Service Win32 API Hook List ==--
[HOOKED_SERVICE_API]:
Service API : ZwAlertResumeThread
Image Path :
OriginalHandler : 0x832e1c99
CurrentHandler : 0x8773b680
ServiceNumber : 0xd
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAlertThread
Image Path :
OriginalHandler : 0x83234be0
CurrentHandler : 0x8773b760
ServiceNumber : 0xe
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAllocateVirtualMemory
Image Path :
OriginalHandler : 0x8322dbec
CurrentHandler : 0x8773a128
ServiceNumber : 0x13
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAlpcConnectPort
Image Path :
OriginalHandler : 0x8327944e
CurrentHandler : 0x8768c288
ServiceNumber : 0x16
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwAssignProcessToJobObject
Image Path :
OriginalHandler : 0x83202fee
CurrentHandler : 0x87820e48
ServiceNumber : 0x2b
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateMutant
Image Path :
OriginalHandler : 0x832142b2
CurrentHandler : 0x8773b3d0
ServiceNumber : 0x4a
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateSymbolicLinkObject
Image Path :
OriginalHandler : 0x83205911
CurrentHandler : 0x87820b68
ServiceNumber : 0x56
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateThread
Image Path :
OriginalHandler : 0x832dfeca
CurrentHandler : 0x8773a630
ServiceNumber : 0x57
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwCreateThreadEx
Image Path :
OriginalHandler : 0x8327436b
CurrentHandler : 0x87820c58
ServiceNumber : 0x58
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDebugActiveProcess
Image Path :
OriginalHandler : 0x832b1d9a
CurrentHandler : 0x87820f28
ServiceNumber : 0x60
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwDuplicateObject
Image Path :
OriginalHandler : 0x8323567a
CurrentHandler : 0x8773a2f8
ServiceNumber : 0x6f
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwFreeVirtualMemory
Image Path :
OriginalHandler : 0x830bbaec
CurrentHandler : 0x8773be90
ServiceNumber : 0x83
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwImpersonateAnonymousToken
Image Path :
OriginalHandler : 0x831f98e0
CurrentHandler : 0x8773b4c0
ServiceNumber : 0x91
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwImpersonateThread
Image Path :
OriginalHandler : 0x8327d84c
CurrentHandler : 0x8773b5a0
ServiceNumber : 0x93
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwLoadDriver
Image Path :
OriginalHandler : 0x831c9c20
CurrentHandler : 0x87688ba0
ServiceNumber : 0x9b
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwMapViewOfSection
Image Path :
OriginalHandler : 0x8324a532
CurrentHandler : 0x8773bd90
ServiceNumber : 0xa8
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenEvent
Image Path :
OriginalHandler : 0x83213cae
CurrentHandler : 0x8773b2f0
ServiceNumber : 0xb1
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenProcess
Image Path :
OriginalHandler : 0x83215af8
CurrentHandler : 0x8773a4d8
ServiceNumber : 0xbe
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenProcessToken
Image Path :
OriginalHandler : 0x8326823f
CurrentHandler : 0x8773a218
ServiceNumber : 0xbf
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenSection
Image Path :
OriginalHandler : 0x8326d8bb
CurrentHandler : 0x8773b130
ServiceNumber : 0xc2
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwOpenThread
Image Path :
OriginalHandler : 0x83261fc3
CurrentHandler : 0x8773a3e8
ServiceNumber : 0xc6
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwProtectVirtualMemory
Image Path :
OriginalHandler : 0x832465a1
CurrentHandler : 0x87820d58
ServiceNumber : 0xd7
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwResumeThread
Image Path :
OriginalHandler : 0x83274592
CurrentHandler : 0x8773b840
ServiceNumber : 0x130
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetContextThread
Image Path :
OriginalHandler : 0x832e1745
CurrentHandler : 0x8773bae0
ServiceNumber : 0x13c
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetInformationProcess
Image Path :
OriginalHandler : 0x8323c78d
CurrentHandler : 0x8773bbc0
ServiceNumber : 0x14d
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSetSystemInformation
Image Path :
OriginalHandler : 0x8325229a
CurrentHandler : 0x8773b028
ServiceNumber : 0x15e
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSuspendProcess
Image Path :
OriginalHandler : 0x832e1bd3
CurrentHandler : 0x8773b210
ServiceNumber : 0x16e
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwSuspendThread
Image Path :
OriginalHandler : 0x83299085
CurrentHandler : 0x8773b920
ServiceNumber : 0x16f
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwTerminateProcess
Image Path :
OriginalHandler : 0x8325ebfb
CurrentHandler : 0x8773a710
ServiceNumber : 0x172
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwTerminateThread
Image Path :
OriginalHandler : 0x8327c584
CurrentHandler : 0x8773ba00
ServiceNumber : 0x173
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwUnmapViewOfSection
Image Path :
OriginalHandler : 0x8326887a
CurrentHandler : 0x8773bcb0
ServiceNumber : 0x181
ModuleName :
SDTType : 0x0
[HOOKED_SERVICE_API]:
Service API : ZwWriteVirtualMemory
Image Path :
OriginalHandler : 0x83263958
CurrentHandler : 0x8773bf80
ServiceNumber : 0x18f
ModuleName :
SDTType : 0x0
No hidden operating system service hooks found.

--== Dump Hidden Port ==--
No hidden ports found.

--== Dump Kernel Code Patching ==--
No kernel code patching detected.

--== Dump Hidden Services ==--
No hidden services found.

Alt 03.02.2013, 22:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Rootkit-Infektion - Standard

Rootkit-Infektion



Hallo,

bitte das GMER Log nachreichen
__________________

__________________

Antwort

Themen zu Rootkit-Infektion
code, computer, data, driver, files, gmer-scan, hook, infiziert, laptop, malwarebytes, micro, norton, ohne befund, opera, ports, registry, scan, services, sicherheitssoftware, suite, system, trend, version, warnung, win32, windows, windows 7



Ähnliche Themen: Rootkit-Infektion


  1. Infektion mit TR/Rootkit.Gen und TR/Crypt.EPACK.4696 - Windows Update und Avira Echtzeitscan funktionieren nicht mehr
    Log-Analyse und Auswertung - 27.05.2014 (4)
  2. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  3. AVG meldet Anti-Rootkit infektion unknown NtMapViewOfSection...
    Plagegeister aller Art und deren Bekämpfung - 04.05.2014 (14)
  4. - Rootkit entdeckt ! Win7 - Anti-Rootkit o. Neuinstallation ?
    Plagegeister aller Art und deren Bekämpfung - 15.02.2014 (13)
  5. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  6. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  7. unbekannte trojaner /rootkit Infektion
    Log-Analyse und Auswertung - 20.07.2012 (4)
  8. Rootkit-Infektion?
    Log-Analyse und Auswertung - 18.06.2012 (1)
  9. Rootkit.gen gefunden/Rootkit-Befall - Bin ich im dran? Brauche dringend Beratung !!!
    Plagegeister aller Art und deren Bekämpfung - 25.05.2012 (3)
  10. Avast Fehler 10050 - Infektion mit Rootkit.Zeroaccess?
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (19)
  11. Rootkit und JavaAgent Infektion
    Plagegeister aller Art und deren Bekämpfung - 05.08.2011 (8)
  12. Rootkit gefunden, Malware Infektion?
    Log-Analyse und Auswertung - 15.06.2011 (27)
  13. Starforce? Rootkit Rootkit.TDSS! Bluescreens und Mbr laufend beschädigt!
    Plagegeister aller Art und deren Bekämpfung - 02.03.2011 (9)
  14. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  15. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  16. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  17. Reste (mailbot o.ä.) nach "rootkit.bagle" infektion
    Plagegeister aller Art und deren Bekämpfung - 12.05.2009 (5)

Zum Thema Rootkit-Infektion - Guten Tag, ich habe einen Laptop mit Windows 7 und als Sicherheitssoftware die Norton Suite, die keine Warnung gegeben hat. Ein Scan mit Malwarebytes war ohne Befund, aber ein gmer-scan - Rootkit-Infektion...
Archiv
Du betrachtest: Rootkit-Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.