Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Root.Necurs

Root.Necurs


Log-Analyse und Auswertung: Root.Necurs

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 06.05.2013, 15:36   #1
HardStylerx3
 
Root.Necurs - Standard

Root.Necurs


Code:
ATTFilter
RogueKiller V8.5.4 [Mar 18 2013] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : hxxp://www.geekstogo.com/forum/files/file/413-roguekiller/
Webseite : hxxp://tigzy.geekstogo.com/roguekiller.php
Blog : hxxp://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Gestartet in : Normaler Modus
Benutzer : Adgoha [Admin Rechte]
Funktion : Scannen -- Datum : 05/06/2013 13:12:46
| ARK || FAK || MBR |

¤¤¤ Böswillige Prozesse : 1 ¤¤¤
[Root.Necurs][SERVICE] fd3323c75793f310 -- C:\Windows\\SystemRoot\System32\Drivers\fd3323c75793f310.sys [x] -> GESTOPPT

¤¤¤ Registry-Einträge : 8 ¤¤¤
[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\fd3323c75793f310 (C:\Windows\System32\Drivers\fd3323c75793f310.sys) -> GEFUNDEN
[Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\fd3323c75793f310 (C:\Windows\System32\Drivers\fd3323c75793f310.sys) -> GEFUNDEN
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> GEFUNDEN
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> GEFUNDEN
[HJ] HKLM\[...]\System : EnableLUA (0) -> GEFUNDEN
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> GEFUNDEN
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> GEFUNDEN
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> GEFUNDEN

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [GELADEN] ¤¤¤
SSDT[84] : NtCreateSection @ 0x8326413D -> HOOKED (Unknown @ 0x91AE83A6)
SSDT[316] : NtSetContextThread @ 0x8331E851 -> HOOKED (Unknown @ 0x91AE83AB)
SSDT[370] : NtTerminateProcess @ 0x8329BD86 -> HOOKED (Unknown @ 0x91AE8347)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91AE83B0)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91AE83B5)

¤¤¤ Infektion : Root.Necurs ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: ST3250820AS ATA Device +++++
--- User ---
[MBR] f6b5b46509c1705a59fbc926182d68c3
[BSP] 2ec69806dad941cfeb81dcac729f44a6 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 49900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 102402048 | Size: 188470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
--- User ---
[MBR] d1724993157bf51f40183df561929d50
[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 248 | Size: 1925 Mo
Code:
ATTFilter
RogueKiller V8.5.4 [Mar 18 2013] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : hxxp://www.geekstogo.com/forum/files/file/413-roguekiller/
Webseite : hxxp://tigzy.geekstogo.com/roguekiller.php
Blog : hxxp://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Gestartet in : Normaler Modus
Benutzer : Adgoha [Admin Rechte]
Funktion : Entfernen -- Datum : 05/06/2013 13:13:41
| ARK || FAK || MBR |

¤¤¤ Böswillige Prozesse : 1 ¤¤¤
[Root.Necurs][SERVICE] fd3323c75793f310 -- C:\Windows\\SystemRoot\System32\Drivers\fd3323c75793f310.sys [x] -> GESTOPPT

¤¤¤ Registry-Einträge : 8 ¤¤¤
[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\fd3323c75793f310 (C:\Windows\System32\Drivers\fd3323c75793f310.sys) -> GELÖSCHT
[Services][Root.Necurs] HKLM\[...]\ControlSet002\Services\fd3323c75793f310 (C:\Windows\System32\Drivers\fd3323c75793f310.sys) -> GELÖSCHT
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> GELÖSCHT
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> ERSETZT (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> ERSETZT (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_TrackProgs (0) -> ERSETZT (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> ERSETZT (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> ERSETZT (0)

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [GELADEN] ¤¤¤
SSDT[84] : NtCreateSection @ 0x8326413D -> HOOKED (Unknown @ 0x91AE83A6)
SSDT[316] : NtSetContextThread @ 0x8331E851 -> HOOKED (Unknown @ 0x91AE83AB)
SSDT[370] : NtTerminateProcess @ 0x8329BD86 -> HOOKED (Unknown @ 0x91AE8347)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91AE83B0)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91AE83B5)

¤¤¤ Infektion : Root.Necurs ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: ST3250820AS ATA Device +++++
--- User ---
[MBR] f6b5b46509c1705a59fbc926182d68c3
[BSP] 2ec69806dad941cfeb81dcac729f44a6 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 49900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 102402048 | Size: 188470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
--- User ---
[MBR] d1724993157bf51f40183df561929d50
[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 248 | Size: 1925 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Abgeschlossen : << RKreport[2]_D_05062013_02d1313.txt >>
RKreport[1]_S_05062013_02d1312.txt ; RKreport[2]_D_05062013_02d1313.txt
Code:
ATTFilter
RogueKiller V8.5.4 [Mar 18 2013] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : hxxp://www.geekstogo.com/forum/files/file/413-roguekiller/
Webseite : hxxp://tigzy.geekstogo.com/roguekiller.php
Blog : hxxp://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Gestartet in : Normaler Modus
Benutzer : Adgoha [Admin Rechte]
Funktion : Scannen -- Datum : 05/06/2013 13:14:34
| ARK || FAK || MBR |

¤¤¤ Böswillige Prozesse : 1 ¤¤¤
[Root.Necurs][SERVICE] fd3323c75793f310 -- C:\Windows\\SystemRoot\System32\Drivers\fd3323c75793f310.sys [x] -> GESTOPPT

¤¤¤ Registry-Einträge : 0 ¤¤¤

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [GELADEN] ¤¤¤
SSDT[84] : NtCreateSection @ 0x8326413D -> HOOKED (Unknown @ 0x91AE83A6)
SSDT[316] : NtSetContextThread @ 0x8331E851 -> HOOKED (Unknown @ 0x91AE83AB)
SSDT[370] : NtTerminateProcess @ 0x8329BD86 -> HOOKED (Unknown @ 0x91AE8347)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91AE83B0)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91AE83B5)

¤¤¤ Infektion : Root.Necurs ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: ST3250820AS ATA Device +++++
--- User ---
[MBR] f6b5b46509c1705a59fbc926182d68c3
[BSP] 2ec69806dad941cfeb81dcac729f44a6 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 49900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 102402048 | Size: 188470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
--- User ---
[MBR] d1724993157bf51f40183df561929d50
[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 248 | Size: 1925 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Abgeschlossen : << RKreport[3]_S_05062013_02d1314.txt >>
RKreport[1]_S_05062013_02d1312.txt ; RKreport[2]_D_05062013_02d1313.txt ; RKreport[3]_S_05062013_02d1314.txt
Code:
ATTFilter
RogueKiller V8.5.4 [Mar 18 2013] durch Tigzy
mail: tigzyRK<at>gmail<dot>com

mail : tigzyRK<at>gmail<dot>com
Kommentare : hxxp://www.geekstogo.com/forum/files/file/413-roguekiller/
Webseite : hxxp://tigzy.geekstogo.com/roguekiller.php
Blog : hxxp://tigzyrk.blogspot.com/

Betriebssystem : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Gestartet in : Normaler Modus
Benutzer : Adgoha [Admin Rechte]
Funktion : Scannen -- Datum : 05/06/2013 13:15:30
| ARK || FAK || MBR |

¤¤¤ Böswillige Prozesse : 1 ¤¤¤
[Root.Necurs][SERVICE] fd3323c75793f310 -- C:\Windows\\SystemRoot\System32\Drivers\fd3323c75793f310.sys [x] -> GESTOPPT

¤¤¤ Registry-Einträge : 0 ¤¤¤

¤¤¤ Bestimmte Dateien / Ordner: ¤¤¤

¤¤¤ Treiber : [GELADEN] ¤¤¤
SSDT[84] : NtCreateSection @ 0x8326413D -> HOOKED (Unknown @ 0x91AE83A6)
SSDT[316] : NtSetContextThread @ 0x8331E851 -> HOOKED (Unknown @ 0x91AE83AB)
SSDT[370] : NtTerminateProcess @ 0x8329BD86 -> HOOKED (Unknown @ 0x91AE8347)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91AE83B0)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91AE83B5)

¤¤¤ Infektion : Root.Necurs ¤¤¤

¤¤¤ Hosts-Datei: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR überprüfen: ¤¤¤

+++++ PhysicalDrive0: ST3250820AS ATA Device +++++
--- User ---
[MBR] f6b5b46509c1705a59fbc926182d68c3
[BSP] 2ec69806dad941cfeb81dcac729f44a6 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 49900 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 102402048 | Size: 188470 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
--- User ---
[MBR] d1724993157bf51f40183df561929d50
[BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 248 | Size: 1925 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Abgeschlossen : << RKreport[4]_S_05062013_02d1315.txt >>
RKreport[1]_S_05062013_02d1312.txt ; RKreport[2]_D_05062013_02d1313.txt ; RKreport[3]_S_05062013_02d1314.txt ; RKreport[4]_S_05062013_02d1315.txt
avira hat irgendwann einfach mal angefangen andauernt virenmeldungen von necurs zu bringen

habe dann mit verschiedenen programmen versucht den rootkit zu beseitigen aber mbar, aswmbr, tdsskiller haben nix gefunden
combofix hängt sich vor der ersten stufe einfach auf (auch im abgesicherten)

als letztes habe ich roguekiller benutzt der den schädling dann endlich gefunden hat aber den treiber wohl nicht löschen kann

ich lasse gerade GMER laufen und werde mich dann mit dem logfile melden

ich hoffe auf hilfe

mfg HardStylerx3

 

Themen zu Root.Necurs
aswmbr, c:\windows, code, data, dateien, entfernen, gmer, hosts-datei, hängt, infektion, logfile, löschen, meldungen, nicht löschen, ordner, programme, prozesse, roguekiller, rootkit, scan, schädling, services, system32, treiber, usb, windows, windows 7


« Trojaner auf meinem Notebook Toshibo von 2008 | Weiterleitung nach google suche zu ihavenet.com »


Ähnliche Themen: Root.Necurs


  1. XP VM Telekom Abusemeldung Infektion: Necurs
    Plagegeister aller Art und deren Bekämpfung - 26.09.2015 (21)
  2. Trojan:Win32/Necurs.A unter Windows 7 - Bitte um Hilfe zur Entfernung
    Log-Analyse und Auswertung - 17.05.2014 (33)
  3. Windows Defender: Problem beim Entfernen von Trojan:Win32/Necurs.A und Trojan:WinNT/Necurs.A unter Windows 7
    Log-Analyse und Auswertung - 11.04.2014 (52)
  4. Win Vista: TR/Necurs.A.405
    Log-Analyse und Auswertung - 08.02.2014 (14)
  5. Trojan Win32/Necurs.A wie werde ich ihn los?
    Plagegeister aller Art und deren Bekämpfung - 03.02.2014 (20)
  6. Vista-Befall mit Trojan:Win32\Necurs.A und PUP.OfferBundler.ST
    Log-Analyse und Auswertung - 02.02.2014 (12)
  7. Mit Avira tr-atraps.gen2 ; TR/necurs.a.71 ; TR/Sirefef.a.78
    Log-Analyse und Auswertung - 05.05.2013 (14)
  8. TR.Necurs.A Drive-by Download. Virenscanner & Windows update & Firewall außer Funktion
    Log-Analyse und Auswertung - 28.02.2013 (19)
  9. mehrere Trojaner gefunden- Malagent,Necurs,Rogue
    Plagegeister aller Art und deren Bekämpfung - 14.01.2013 (61)
  10. Necurs.A, Windows Update funktioniert nicht Antivirenprogramm deaktivieren sich
    Log-Analyse und Auswertung - 20.12.2012 (23)
  11. Troj/Necurs-M in C:\WINDOWS\system32\drivers\d8146e3232754481.sys -- greift Hacker auf meinen PC zu?
    Log-Analyse und Auswertung - 03.11.2012 (5)
  12. MSE: Sirefef, Necurs, Fareit und CVE-2012-1723
    Log-Analyse und Auswertung - 13.09.2012 (14)
  13. Atraps(2)+Necurs+?
    Log-Analyse und Auswertung - 10.09.2012 (15)
  14. Root-Server?
    Netzwerk und Hardware - 04.01.2008 (1)
  15. root-Passwort für mySQL
    Alles rund um Windows - 04.09.2003 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Root.Necurs - Code: Alles auswählen Aufklappen ATTFilter RogueKiller V8.5.4 [Mar 18 2013] durch Tigzy mail: tigzyRK<at>gmail<dot>com mail : tigzyRK<at>gmail<dot>com Kommentare : hxxp://www.geekstogo.com/forum/files/file/413-roguekiller/ Webseite : hxxp://tigzy.geekstogo.com/roguekiller.php Blog : hxxp://tigzyrk.blogspot.com/ Betriebssystem : Windows 7 - Root.Necurs...
Archiv
Du betrachtest: Root.Necurs auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131