Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Verdächtige Hooks in diversen Dateien laut GMER

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 10.06.2013, 23:39   #1
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Ausrufezeichen

Verdächtige Hooks in diversen Dateien laut GMER



Liebe Community,

ich habe heute einen Scan mit GMER durchgeführt und die Auswertung ist wie folgt:

PHP-Code:
GMER 2.1.19163 hxxp://www.gmer.net
Rootkit scan 2013-06-10 23:58:32
Windows 6.1.7601 Service Pack 1 x64 
\Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-****************** rev.**** 931,51GB
Running
gmer.exeDriverC:\Users\*****\AppData\Local\Temp\pgtdqpow.sys


---- Kernel code sections GMER 2.1 ----

.
text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [8093F3FF019DF0]
.
text  C:\Windows\System32\win32k.sys!W32pServiceTable 8                                                                                      fffff96000124008 3 bytes [C00602]

---- 
User code sections GMER 2.1 ----

.
text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 69   00000000764c1465 2 bytes [4C76]
.
text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation 155  00000000764c14bb 2 bytes [4C76]
.
text  ...                                                                                                                                      * 2

---- EOF GMER 2.1 ---- 
Tools wie tdsskiller und etwaige bekannte Analysetools konnten nichts finden.
Das Einzige, was mit in der Vergangenheit aufgrund zahlreicher dubioser Vorfälle im Internet aufgefallen ist, ist,
dass ich nach Aktivierung der Routing logging Funktionalität in der Fritzbox und nach nachfolgender Analyse der Loggings mit Wireshark äußerst merkwürde ICMP-Trackings einsehen konnte.

Erstere IP ist die Meine, die Zweite eine Italienische, welche ich überhaupt nicht angesteuert hatte:

3761021.707485188.XXX.XXX.XX188.XXX.XX.XXICMP78Destination unreachable (Communication administratively filtered)

Dasselbe Phänomen konnte ich kurz darauf mit einer französischen IP feststellen.

Kann es sein, dass ich ein Rootkit in mein System gegraben hat und ein verkappter Trojaner via ICMP Kontakt zu seinem Hirten aufnimmt ?
Was hat es mit der W32pServiceTable auf sich? Wird diese nicht besonders gerne von Rootkits kompromittiert? Ist da etwas verdächtiges dabei...?

Vielen Dank im Voraus!

Gruß, boogiee

Alt 11.06.2013, 06:14   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Hi,

das ganze Log bitte
__________________

__________________

Alt 11.06.2013, 12:42   #3
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Code:
ATTFilter
No. Time Source Destination Protocol Length Info
375 1021.707264 188.XXX.XX.XXX 188.174.110.36 TCP 82 nm-assessor > telnet Frame 375: 82 bytes on wire (656 bits), 82 bytes captured (656 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017680000 Mitteleuropäische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017680000 seconds
[Time delta from previous captured frame: 0.365613000 seconds]
[Time delta from previous displayed frame: 0.365613000 seconds]
[Time since reference or first frame: 1021.707264000 seconds]
Frame Number: 375
Frame Length: 82 bytes (656 bits)
Capture Length: 82 bytes (656 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:tcp]
[Coloring Rule Name: TCP SYN/FIN]
[Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1]
Ethernet II, Src: Unispher_43:14:97 (00:90:1a:43:14:97), Dst: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Destination: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 62
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 60
Identification: 0xe688 (59016)
Flags: 0x02 (Don't Fragment)
0... .... = Reserved bit: Not set
.1.. .... = Don't fragment: Set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 52
Protocol: TCP (6)
Header checksum: 0x28b9 [correct]
[Good: True]
[Bad: False]
Source: 188.153.XX.XXX (188.153.XX.XXX)
Destination: 188.174.110.36 (188.174.110.36)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Transmission Control Protocol, Src Port: nm-assessor (3151), Dst Port: telnet (23), Seq: 0, Len: 0
Source port: nm-assessor (3151)
Destination port: telnet (23)
[Stream index: 22]
Sequence number: 0 (relative sequence number)
Header length: 40 bytes
Flags: 0x002 (SYN)
000. .... .... = Reserved: Not set
...0 .... .... = Nonce: Not set
.... 0... .... = Congestion Window Reduced (CWR): Not set
.... .0.. .... = ECN-Echo: Not set
.... ..0. .... = Urgent: Not set
.... ...0 .... = Acknowledgment: Not set
.... .... 0... = Push: Not set
.... .... .0.. = Reset: Not set
.... .... ..1. = Syn: Set
[Expert Info (Chat/Sequence): Connection establish request (SYN): server port telnet]
[Message: Connection establish request (SYN): server port telnet]
[Severity level: Chat]
[Group: Sequence]
.... .... ...0 = Fin: Not set
Window size value: 5808
[Calculated window size: 5808]
Checksum: 0x25dd [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window Maximum segment size: 1452 bytes
Kind: MSS size (2)
Length: 4
MSS Value: 1452
TCP SACK Permitted Option: True
Kind: SACK Permission (4)
Length: 2
Timestamps: TSval 835833, TSecr 0
Kind: Timestamp (8)
Length: 10
Timestamp value: 835833
Timestamp echo reply: 0
No-Operation (NOP)
Type: 1
0... .... = Copy on fragmentation: No
.00. .... = Class: Control (0)
...0 0001 = Number: No-Operation (NOP) (1)
Window scale: 0 (multiply by 1)
Kind: Window Scale (3)
Length: 3
Shift count: 0
[Multiplier: 1]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

No. Time Source Destination Protocol Length Info
376 1021.707485 188.174.110.36 188.153.XX.XXX ICMP 78 Destination unreachable Frame 376: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017901000 Mitteleuropäische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017901000 seconds
[Time delta from previous captured frame: 0.000221000 seconds]
[Time delta from previous displayed frame: 0.000221000 seconds]
[Time since reference or first frame: 1021.707485000 seconds]
Frame Number: 376
Frame Length: 78 bytes (624 bits)
Capture Length: 78 bytes (624 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:icmp:ip:tcp]
[Coloring Rule Name: ICMP errors]
[Coloring Rule String: icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || Ethernet II, Src: Avm_83:0f:b2 (c0:25:06:83:0f:b2), Dst: Unispher_43:14:97 (00:90:1a:43:14:97)
Destination: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 58
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.174.110.36 (188.174.110.36), Dst: 188.153.XX.XXX (188.153.XX.XXX)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN: 0x00: Not-ECT (Not ECN-Capable 1100 00.. = Differentiated Services Codepoint: Class Selector 6 (0x30)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 56
Identification: 0xe688 (59016)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: ICMP (1)
Header checksum: 0x5c02 [correct]
[Good: True]
[Bad: False]
Source: 188.174.110.36 (188.174.110.36)
Destination: 188.153.XX.XXX (188.153.XX.XXX)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 13 (Communication administratively filtered)
Checksum: 0xe9f0 [correct]
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes
         
__________________

Alt 11.06.2013, 13:09   #4
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Sorry, ich meinte das GMER Log
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 11.06.2013, 13:22   #5
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Das ist das vollständige GMER Log.


Alt 11.06.2013, 13:24   #6
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Also, ich hab gefühlte 100 Millionen GMER Logs gesehen, aber noch NIE so was

Du hast doch oben ein Teilstück gepostet, oder war das das komplette Log?

GMER Logfile:
Code:
ATTFilter
GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-06-10 23:58:32
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 ****************** rev.**** 931,51GB
Running: gmer.exe; Driver: C:\Users\*****\AppData\Local\Temp\pgtdqpow.sys


---- Kernel code sections - GMER 2.1 ----

.text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [80, 93, F3, FF, 01, 9D, F0]
.text  C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                      fffff96000124008 3 bytes [C0, 06, 02]

---- User code sections - GMER 2.1 ----

.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   00000000764c1465 2 bytes [4C, 76]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000764c14bb 2 bytes [4C, 76]
.text  ...                                                                                                                                      * 2

---- EOF - GMER 2.1 ---- [/QUOTE]
         
--- --- ---
__________________
--> Verdächtige Hooks in diversen Dateien laut GMER

Alt 11.06.2013, 13:41   #7
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Joa, Gmer mit Standardkonfiguration (Quickscan).

Edit:
Könnte es nicht auch ein Rootkit geben, welches in der Lage ist, GMER zu überlisten?

Hallo Schrauber,

Ich habe keinen Telnet-Befehl gesendet wie aus der Log von Wireshark hervorgeht.
Das muss doch ein programm im Hintergrund gemacht haben.

PHP-Code:
Transmission Control ProtocolSrc Portnm-assessor (3151), Dst Porttelnet (23), Seq0Len0
Source port
nm-assessor (3151)
Destination porttelnet (23

Alt 11.06.2013, 15:36   #8
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Haste ne DVD von Windows zur Hand? Dann scannen wir einmal von aussen. Nen besseren Scan gibt es nicht. Aber ich sag Dir schon jetzt: ich tippe, das Gerät ist sauber.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 11.06.2013, 16:17   #9
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Habe eine DVD hier - für was wird diese von dir benötigt?

Gruß, boogiee

Alt 11.06.2013, 19:22   #10
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



[indent]
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)
Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
  • Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
  • Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
  • Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:
Über den Boot Manager:
  • Starte den Rechner neu.
  • Während dem Hochfahren drücke mehrmals die F8 Taste
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Mit Windows CD/DVD (auch bei Windows 8 möglich):
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu und starte von der CD.
  • Wähle die Spracheinstellungen und klicke "Weiter".
  • Klicke auf Computerreparaturoptionen !
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".
Wähle in den Reparaturoptionen: Eingabeaufforderung
  • Gib nun bitte notepad ein und drücke Enter.
  • Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
    Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
  • Schließe Notepad wieder
  • Gib nun bitte folgenden Befehl ein.
    e:\frst.exe bzw. e:\frst64.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan
Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 12.06.2013, 21:26   #11
boogiee
 
Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Hallo Schrauber,

danke für dein Engagement.
Ich habe die Analyse mit dem frst64 ausgeführt. Ist es nicht ein wenig riskant, mein System hier offenzulegen?

Gruß, boogiee

Alt 13.06.2013, 07:38   #12
schrauber
/// the machine
/// TB-Ausbilder
 

Verdächtige Hooks in diversen Dateien laut GMER - Standard

Verdächtige Hooks in diversen Dateien laut GMER



Nö, wieso? Da steht nix drin was gegen Dich verwendet werden kann. Ausser ich finde Cracks
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Antwort

Themen zu Verdächtige Hooks in diversen Dateien laut GMER
aktivierung, appdata, auswertung, bytes, c:\windows, code, dateien, diverse, driver, fritzbox, gmer, harddisk, ide, internet, nichts, nvidia, rootkits, scan, service, system, system32, temp, trojaner, update, win32k.sys, wireshark



Ähnliche Themen: Verdächtige Hooks in diversen Dateien laut GMER


  1. Malwarebytes findet verdächtige Dateien - was soll ich damit tun?
    Mülltonne - 24.01.2014 (1)
  2. Windows 7: Malwarebytes Anti-Malware meldet hunderte Infizierungen mit diversen PUP.Optional Dateien
    Log-Analyse und Auswertung - 13.09.2013 (7)
  3. Win7 x64 - Hookshark64+GMER finden unerklärliche Hooks + Hochfahren etwas langsam
    Plagegeister aller Art und deren Bekämpfung - 31.08.2013 (11)
  4. Panda findet Hupigon.AZG und Trj/CI.A in diversen Dateien
    Log-Analyse und Auswertung - 17.10.2012 (44)
  5. 22 Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (1)
  6. Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.05.2012 (0)
  7. MBR-Rootkit? - Benutzung GMER = Rechner hängt sich auf - laut vielen anderen Scannern alles i.O.
    Log-Analyse und Auswertung - 29.02.2012 (2)
  8. Nach Viren-Scan und Diversen Dateien in Quarantäne, kein Browser mehr funktioniert.
    Log-Analyse und Auswertung - 05.12.2010 (8)
  9. TR/Crypt.ZPACK.Gen / TR AGENT variante /eventuell Rootkit laut GMER
    Plagegeister aller Art und deren Bekämpfung - 19.07.2009 (3)
  10. Verdächtige Dateien und Win-Taste deaktiviert?
    Log-Analyse und Auswertung - 07.12.2008 (0)
  11. Rootkit laut Gmer, HJT ohne Erfolg? delete klappt nicht:(
    Mülltonne - 13.11.2008 (0)
  12. Hab verdächtige Dateien - Was tun??
    Plagegeister aller Art und deren Bekämpfung - 30.07.2008 (1)
  13. E-Scan legt verdächtige Dateien an
    Diskussionsforum - 03.10.2007 (2)
  14. verdächtige dateien löschen? mota113.exe
    Plagegeister aller Art und deren Bekämpfung - 14.03.2007 (13)
  15. Verdächtige EXE-Dateien in C:\Windows\Temp
    Log-Analyse und Auswertung - 17.07.2005 (6)
  16. Verdächtige Dateien überprüfen und einsenden!
    Archiv - 25.06.2005 (0)
  17. Mehrere verdächtige Dateien, z.B. IWurm.Numgame
    Plagegeister aller Art und deren Bekämpfung - 28.12.2003 (2)

Zum Thema Verdächtige Hooks in diversen Dateien laut GMER - Liebe Community, ich habe heute einen Scan mit GMER durchgeführt und die Auswertung ist wie folgt: PHP-Code: GMER 2.1.19163  -  hxxp : //www.gmer.net Rootkit scan 2013 - 06 - 10 23 : 58 : - Verdächtige Hooks in diversen Dateien laut GMER...
Archiv
Du betrachtest: Verdächtige Hooks in diversen Dateien laut GMER auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.