Verdächtige Hooks in diversen Dateien laut GMER

boogiee · 10.06.2013, 23:39

Liebe Community,

ich habe heute einen Scan mit GMER durchgeführt und die Auswertung ist wie folgt:

PHP-Code:

  GMER 2.1.19163 - hxxp://www.gmer.net

Rootkit scan 2013-06-10 23:58:32

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 ****************** rev.**** 931,51GB

Running: gmer.exe; Driver: C:\Users\*****\AppData\Local\Temp\pgtdqpow.sys

 
 
---- Kernel code sections - GMER 2.1 ----

 
.text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [80, 93, F3, FF, 01, 9D, F0]

.text  C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                      fffff96000124008 3 bytes [C0, 06, 02]

 
---- User code sections - GMER 2.1 ----

 
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   00000000764c1465 2 bytes [4C, 76]

.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000764c14bb 2 bytes [4C, 76]

.text  ...                                                                                                                                      * 2

 
---- EOF - GMER 2.1 ----

Tools wie tdsskiller und etwaige bekannte Analysetools konnten nichts finden.
Das Einzige, was mit in der Vergangenheit aufgrund zahlreicher dubioser Vorfälle im Internet aufgefallen ist, ist,
dass ich nach Aktivierung der Routing logging Funktionalität in der Fritzbox und nach nachfolgender Analyse der Loggings mit Wireshark äußerst merkwürde ICMP-Trackings einsehen konnte.

Erstere IP ist die Meine, die Zweite eine Italienische, welche ich überhaupt nicht angesteuert hatte:

376

1021.707485

188.XXX.XXX.XX

188.XXX.XX.XX

ICMP

78

Destination unreachable (Communication administratively filtered)

Dasselbe Phänomen konnte ich kurz darauf mit einer französischen IP feststellen.

Kann es sein, dass ich ein Rootkit in mein System gegraben hat und ein verkappter Trojaner via ICMP Kontakt zu seinem Hirten aufnimmt ?
Was hat es mit der W32pServiceTable auf sich? Wird diese nicht besonders gerne von Rootkits kompromittiert? Ist da etwas verdächtiges dabei...?

Vielen Dank im Voraus!

Gruß, boogiee

schrauber · 11.06.2013, 06:14

Hi,

das ganze Log bitte

boogiee · 11.06.2013, 12:42

Code:

ATTFilter

No. Time Source Destination Protocol Length Info
375 1021.707264 188.XXX.XX.XXX 188.174.110.36 TCP 82 nm-assessor > telnet Frame 375: 82 bytes on wire (656 bits), 82 bytes captured (656 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017680000 MitteleuropÃ¤ische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017680000 seconds
[Time delta from previous captured frame: 0.365613000 seconds]
[Time delta from previous displayed frame: 0.365613000 seconds]
[Time since reference or first frame: 1021.707264000 seconds]
Frame Number: 375
Frame Length: 82 bytes (656 bits)
Capture Length: 82 bytes (656 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:tcp]
[Coloring Rule Name: TCP SYN/FIN]
[Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1]
Ethernet II, Src: Unispher_43:14:97 (00:90:1a:43:14:97), Dst: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Destination: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 62
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
0000 00.. = Differentiated Services Codepoint: Default (0x00)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 60
Identification: 0xe688 (59016)
Flags: 0x02 (Don't Fragment)
0... .... = Reserved bit: Not set
.1.. .... = Don't fragment: Set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 52
Protocol: TCP (6)
Header checksum: 0x28b9 [correct]
[Good: True]
[Bad: False]
Source: 188.153.XX.XXX (188.153.XX.XXX)
Destination: 188.174.110.36 (188.174.110.36)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Transmission Control Protocol, Src Port: nm-assessor (3151), Dst Port: telnet (23), Seq: 0, Len: 0
Source port: nm-assessor (3151)
Destination port: telnet (23)
[Stream index: 22]
Sequence number: 0 (relative sequence number)
Header length: 40 bytes
Flags: 0x002 (SYN)
000. .... .... = Reserved: Not set
...0 .... .... = Nonce: Not set
.... 0... .... = Congestion Window Reduced (CWR): Not set
.... .0.. .... = ECN-Echo: Not set
.... ..0. .... = Urgent: Not set
.... ...0 .... = Acknowledgment: Not set
.... .... 0... = Push: Not set
.... .... .0.. = Reset: Not set
.... .... ..1. = Syn: Set
[Expert Info (Chat/Sequence): Connection establish request (SYN): server port telnet]
[Message: Connection establish request (SYN): server port telnet]
[Severity level: Chat]
[Group: Sequence]
.... .... ...0 = Fin: Not set
Window size value: 5808
[Calculated window size: 5808]
Checksum: 0x25dd [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window Maximum segment size: 1452 bytes
Kind: MSS size (2)
Length: 4
MSS Value: 1452
TCP SACK Permitted Option: True
Kind: SACK Permission (4)
Length: 2
Timestamps: TSval 835833, TSecr 0
Kind: Timestamp (8)
Length: 10
Timestamp value: 835833
Timestamp echo reply: 0
No-Operation (NOP)
Type: 1
0... .... = Copy on fragmentation: No
.00. .... = Class: Control (0)
...0 0001 = Number: No-Operation (NOP) (1)
Window scale: 0 (multiply by 1)
Kind: Window Scale (3)
Length: 3
Shift count: 0
[Multiplier: 1]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

No. Time Source Destination Protocol Length Info
376 1021.707485 188.174.110.36 188.153.XX.XXX ICMP 78 Destination unreachable Frame 376: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)
WTAP_ENCAP: 1
Arrival Time: May 24, 2013 22:43:03.017901000 MitteleuropÃ¤ische Sommerzeit
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1369428183.017901000 seconds
[Time delta from previous captured frame: 0.000221000 seconds]
[Time delta from previous displayed frame: 0.000221000 seconds]
[Time since reference or first frame: 1021.707485000 seconds]
Frame Number: 376
Frame Length: 78 bytes (624 bits)
Capture Length: 78 bytes (624 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:pppoes:ppp:ip:icmp:ip:tcp]
[Coloring Rule Name: ICMP errors]
[Coloring Rule String: icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || Ethernet II, Src: Avm_83:0f:b2 (c0:25:06:83:0f:b2), Dst: Unispher_43:14:97 (00:90:1a:43:14:97)
Destination: Unispher_43:14:97 (00:90:1a:43:14:97)
Address: Unispher_43:14:97 (00:90:1a:43:14:97)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Source: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: PPPoE Session (0x8864)
PPP-over-Ethernet Session
0001 .... = Version: 1
.... 0001 = Type: 1
Code: Session Data (0x00)
Session ID: 0x1ff0
Payload Length: 58
Point-to-Point Protocol
Protocol: Internet Protocol version 4 (0x0021)
Internet Protocol Version 4, Src: 188.174.110.36 (188.174.110.36), Dst: 188.153.XX.XXX (188.153.XX.XXX)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN: 0x00: Not-ECT (Not ECN-Capable 1100 00.. = Differentiated Services Codepoint: Class Selector 6 (0x30)
.... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00)
Total Length: 56
Identification: 0xe688 (59016)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: ICMP (1)
Header checksum: 0x5c02 [correct]
[Good: True]
[Bad: False]
Source: 188.174.110.36 (188.174.110.36)
Destination: 188.153.XX.XXX (188.153.XX.XXX)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
Internet Control Message Protocol
Type: 3 (Destination unreachable)
Code: 13 (Communication administratively filtered)
Checksum: 0xe9f0 [correct]
Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36)
Version: 4
Header length: 20 bytes

schrauber · 11.06.2013, 13:09

Sorry, ich meinte das GMER Log

boogiee · 11.06.2013, 13:22

Das ist das vollständige GMER Log.

schrauber · 11.06.2013, 13:24

Also, ich hab gefühlte 100 Millionen GMER Logs gesehen, aber noch NIE so was

Du hast doch oben ein Teilstück gepostet, oder war das das komplette Log?

GMER Logfile:

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-06-10 23:58:32
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 ****************** rev.**** 931,51GB
Running: gmer.exe; Driver: C:\Users\*****\AppData\Local\Temp\pgtdqpow.sys


---- Kernel code sections - GMER 2.1 ----

.text  C:\Windows\System32\win32k.sys!W32pServiceTable                                                                                          fffff96000124000 7 bytes [80, 93, F3, FF, 01, 9D, F0]
.text  C:\Windows\System32\win32k.sys!W32pServiceTable + 8                                                                                      fffff96000124008 3 bytes [C0, 06, 02]

---- User code sections - GMER 2.1 ----

.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69   00000000764c1465 2 bytes [4C, 76]
.text  C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155  00000000764c14bb 2 bytes [4C, 76]
.text  ...                                                                                                                                      * 2

---- EOF - GMER 2.1 ---- [/QUOTE]

--- --- ---

boogiee · 11.06.2013, 13:41

Joa, Gmer mit Standardkonfiguration (Quickscan).

Edit:
Könnte es nicht auch ein Rootkit geben, welches in der Lage ist, GMER zu überlisten?

Hallo Schrauber,

Ich habe keinen Telnet-Befehl gesendet wie aus der Log von Wireshark hervorgeht.
Das muss doch ein programm im Hintergrund gemacht haben.

PHP-Code:

  Transmission Control Protocol, Src Port: nm-assessor (3151), Dst Port: telnet (23), Seq: 0, Len: 0

Source port: nm-assessor (3151)

Destination port: telnet (23)

schrauber · 11.06.2013, 15:36

Haste ne DVD von Windows zur Hand? Dann scannen wir einmal von aussen. Nen besseren Scan gibt es nicht. Aber ich sag Dir schon jetzt: ich tippe, das Gerät ist sauber.

boogiee · 11.06.2013, 16:17

Habe eine DVD hier - für was wird diese von dir benötigt?

Gruß, boogiee

schrauber · 11.06.2013, 19:22

[indent]
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8)

Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit

Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.

Scanne jetzt nach der bebilderten Anleitung oder verwende die folgende Kurzanleitung:

Über den Boot Manager:
Starte den Rechner neu.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD (auch bei Windows 8 möglich):
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu und starte von der CD.

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen: Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer.
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).

boogiee · 12.06.2013, 21:26

Hallo Schrauber,

danke für dein Engagement.
Ich habe die Analyse mit dem frst64 ausgeführt. Ist es nicht ein wenig riskant, mein System hier offenzulegen?

Gruß, boogiee

schrauber · 13.06.2013, 07:38

Nö, wieso? Da steht nix drin was gegen Dich verwendet werden kann. Ausser ich finde Cracks

11.06.2013, 06:14	#2
schrauber /// the machine /// TB-Ausbilder	Verdächtige Hooks in diversen Dateien laut GMER Hi, das ganze Log bitte __________________ __________________

11.06.2013, 13:09	#4
schrauber /// the machine /// TB-Ausbilder	Verdächtige Hooks in diversen Dateien laut GMER Sorry, ich meinte das GMER Log __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

13.06.2013, 07:38	#12
schrauber /// the machine /// TB-Ausbilder	Verdächtige Hooks in diversen Dateien laut GMER Nö, wieso? Da steht nix drin was gegen Dich verwendet werden kann. Ausser ich finde Cracks __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Verdächtige Hooks in diversen Dateien laut GMER

Log-Analyse und Auswertung: Verdächtige Hooks in diversen Dateien laut GMER