|
Log-Analyse und Auswertung: Verdächtige Hooks in diversen Dateien laut GMERWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
10.06.2013, 23:39 | #1 | |||||||
| Verdächtige Hooks in diversen Dateien laut GMER Liebe Community, ich habe heute einen Scan mit GMER durchgeführt und die Auswertung ist wie folgt: PHP-Code: Das Einzige, was mit in der Vergangenheit aufgrund zahlreicher dubioser Vorfälle im Internet aufgefallen ist, ist, dass ich nach Aktivierung der Routing logging Funktionalität in der Fritzbox und nach nachfolgender Analyse der Loggings mit Wireshark äußerst merkwürde ICMP-Trackings einsehen konnte. Erstere IP ist die Meine, die Zweite eine Italienische, welche ich überhaupt nicht angesteuert hatte:
Dasselbe Phänomen konnte ich kurz darauf mit einer französischen IP feststellen. Kann es sein, dass ich ein Rootkit in mein System gegraben hat und ein verkappter Trojaner via ICMP Kontakt zu seinem Hirten aufnimmt ? Was hat es mit der W32pServiceTable auf sich? Wird diese nicht besonders gerne von Rootkits kompromittiert? Ist da etwas verdächtiges dabei...? Vielen Dank im Voraus! Gruß, boogiee |
11.06.2013, 06:14 | #2 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER Hi,
__________________das ganze Log bitte
__________________ |
11.06.2013, 12:42 | #3 |
| Verdächtige Hooks in diversen Dateien laut GMERCode:
ATTFilter No. Time Source Destination Protocol Length Info 375 1021.707264 188.XXX.XX.XXX 188.174.110.36 TCP 82 nm-assessor > telnet Frame 375: 82 bytes on wire (656 bits), 82 bytes captured (656 bits) WTAP_ENCAP: 1 Arrival Time: May 24, 2013 22:43:03.017680000 Mitteleuropäische Sommerzeit [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1369428183.017680000 seconds [Time delta from previous captured frame: 0.365613000 seconds] [Time delta from previous displayed frame: 0.365613000 seconds] [Time since reference or first frame: 1021.707264000 seconds] Frame Number: 375 Frame Length: 82 bytes (656 bits) Capture Length: 82 bytes (656 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:pppoes:ppp:ip:tcp] [Coloring Rule Name: TCP SYN/FIN] [Coloring Rule String: tcp.flags & 0x02 || tcp.flags.fin == 1] Ethernet II, Src: Unispher_43:14:97 (00:90:1a:43:14:97), Dst: Avm_83:0f:b2 (c0:25:06:83:0f:b2) Destination: Avm_83:0f:b2 (c0:25:06:83:0f:b2) Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: Unispher_43:14:97 (00:90:1a:43:14:97) Address: Unispher_43:14:97 (00:90:1a:43:14:97) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: PPPoE Session (0x8864) PPP-over-Ethernet Session 0001 .... = Version: 1 .... 0001 = Type: 1 Code: Session Data (0x00) Session ID: 0x1ff0 Payload Length: 62 Point-to-Point Protocol Protocol: Internet Protocol version 4 (0x0021) Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36) Version: 4 Header length: 20 bytes Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport)) 0000 00.. = Differentiated Services Codepoint: Default (0x00) .... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 60 Identification: 0xe688 (59016) Flags: 0x02 (Don't Fragment) 0... .... = Reserved bit: Not set .1.. .... = Don't fragment: Set ..0. .... = More fragments: Not set Fragment offset: 0 Time to live: 52 Protocol: TCP (6) Header checksum: 0x28b9 [correct] [Good: True] [Bad: False] Source: 188.153.XX.XXX (188.153.XX.XXX) Destination: 188.174.110.36 (188.174.110.36) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Transmission Control Protocol, Src Port: nm-assessor (3151), Dst Port: telnet (23), Seq: 0, Len: 0 Source port: nm-assessor (3151) Destination port: telnet (23) [Stream index: 22] Sequence number: 0 (relative sequence number) Header length: 40 bytes Flags: 0x002 (SYN) 000. .... .... = Reserved: Not set ...0 .... .... = Nonce: Not set .... 0... .... = Congestion Window Reduced (CWR): Not set .... .0.. .... = ECN-Echo: Not set .... ..0. .... = Urgent: Not set .... ...0 .... = Acknowledgment: Not set .... .... 0... = Push: Not set .... .... .0.. = Reset: Not set .... .... ..1. = Syn: Set [Expert Info (Chat/Sequence): Connection establish request (SYN): server port telnet] [Message: Connection establish request (SYN): server port telnet] [Severity level: Chat] [Group: Sequence] .... .... ...0 = Fin: Not set Window size value: 5808 [Calculated window size: 5808] Checksum: 0x25dd [validation disabled] [Good Checksum: False] [Bad Checksum: False] Options: (20 bytes), Maximum segment size, SACK permitted, Timestamps, No-Operation (NOP), Window Maximum segment size: 1452 bytes Kind: MSS size (2) Length: 4 MSS Value: 1452 TCP SACK Permitted Option: True Kind: SACK Permission (4) Length: 2 Timestamps: TSval 835833, TSecr 0 Kind: Timestamp (8) Length: 10 Timestamp value: 835833 Timestamp echo reply: 0 No-Operation (NOP) Type: 1 0... .... = Copy on fragmentation: No .00. .... = Class: Control (0) ...0 0001 = Number: No-Operation (NOP) (1) Window scale: 0 (multiply by 1) Kind: Window Scale (3) Length: 3 Shift count: 0 [Multiplier: 1] ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ No. Time Source Destination Protocol Length Info 376 1021.707485 188.174.110.36 188.153.XX.XXX ICMP 78 Destination unreachable Frame 376: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) WTAP_ENCAP: 1 Arrival Time: May 24, 2013 22:43:03.017901000 Mitteleuropäische Sommerzeit [Time shift for this packet: 0.000000000 seconds] Epoch Time: 1369428183.017901000 seconds [Time delta from previous captured frame: 0.000221000 seconds] [Time delta from previous displayed frame: 0.000221000 seconds] [Time since reference or first frame: 1021.707485000 seconds] Frame Number: 376 Frame Length: 78 bytes (624 bits) Capture Length: 78 bytes (624 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:pppoes:ppp:ip:icmp:ip:tcp] [Coloring Rule Name: ICMP errors] [Coloring Rule String: icmp.type eq 3 || icmp.type eq 4 || icmp.type eq 5 || icmp.type eq 11 || Ethernet II, Src: Avm_83:0f:b2 (c0:25:06:83:0f:b2), Dst: Unispher_43:14:97 (00:90:1a:43:14:97) Destination: Unispher_43:14:97 (00:90:1a:43:14:97) Address: Unispher_43:14:97 (00:90:1a:43:14:97) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Source: Avm_83:0f:b2 (c0:25:06:83:0f:b2) Address: Avm_83:0f:b2 (c0:25:06:83:0f:b2) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) Type: PPPoE Session (0x8864) PPP-over-Ethernet Session 0001 .... = Version: 1 .... 0001 = Type: 1 Code: Session Data (0x00) Session ID: 0x1ff0 Payload Length: 58 Point-to-Point Protocol Protocol: Internet Protocol version 4 (0x0021) Internet Protocol Version 4, Src: 188.174.110.36 (188.174.110.36), Dst: 188.153.XX.XXX (188.153.XX.XXX) Version: 4 Header length: 20 bytes Differentiated Services Field: 0xc0 (DSCP 0x30: Class Selector 6; ECN: 0x00: Not-ECT (Not ECN-Capable 1100 00.. = Differentiated Services Codepoint: Class Selector 6 (0x30) .... ..00 = Explicit Congestion Notification: Not-ECT (Not ECN-Capable Transport) (0x00) Total Length: 56 Identification: 0xe688 (59016) Flags: 0x00 0... .... = Reserved bit: Not set .0.. .... = Don't fragment: Not set ..0. .... = More fragments: Not set Fragment offset: 0 Time to live: 64 Protocol: ICMP (1) Header checksum: 0x5c02 [correct] [Good: True] [Bad: False] Source: 188.174.110.36 (188.174.110.36) Destination: 188.153.XX.XXX (188.153.XX.XXX) [Source GeoIP: Unknown] [Destination GeoIP: Unknown] Internet Control Message Protocol Type: 3 (Destination unreachable) Code: 13 (Communication administratively filtered) Checksum: 0xe9f0 [correct] Internet Protocol Version 4, Src: 188.153.XX.XXX (188.153.XX.XXX), Dst: 188.174.110.36 (188.174.110.36) Version: 4 Header length: 20 bytes |
11.06.2013, 13:09 | #4 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER Sorry, ich meinte das GMER Log
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
11.06.2013, 13:24 | #6 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER Also, ich hab gefühlte 100 Millionen GMER Logs gesehen, aber noch NIE so was Du hast doch oben ein Teilstück gepostet, oder war das das komplette Log? GMER Logfile: Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net Rootkit scan 2013-06-10 23:58:32 Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-6 ****************** rev.**** 931,51GB Running: gmer.exe; Driver: C:\Users\*****\AppData\Local\Temp\pgtdqpow.sys ---- Kernel code sections - GMER 2.1 ---- .text C:\Windows\System32\win32k.sys!W32pServiceTable fffff96000124000 7 bytes [80, 93, F3, FF, 01, 9D, F0] .text C:\Windows\System32\win32k.sys!W32pServiceTable + 8 fffff96000124008 3 bytes [C0, 06, 02] ---- User code sections - GMER 2.1 ---- .text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 00000000764c1465 2 bytes [4C, 76] .text C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe[3784] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000764c14bb 2 bytes [4C, 76] .text ... * 2 ---- EOF - GMER 2.1 ---- [/QUOTE]
__________________ --> Verdächtige Hooks in diversen Dateien laut GMER |
11.06.2013, 13:41 | #7 |
| Verdächtige Hooks in diversen Dateien laut GMER Joa, Gmer mit Standardkonfiguration (Quickscan). Edit: Könnte es nicht auch ein Rootkit geben, welches in der Lage ist, GMER zu überlisten? Hallo Schrauber, Ich habe keinen Telnet-Befehl gesendet wie aus der Log von Wireshark hervorgeht. Das muss doch ein programm im Hintergrund gemacht haben. PHP-Code: |
11.06.2013, 15:36 | #8 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER Haste ne DVD von Windows zur Hand? Dann scannen wir einmal von aussen. Nen besseren Scan gibt es nicht. Aber ich sag Dir schon jetzt: ich tippe, das Gerät ist sauber.
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
11.06.2013, 16:17 | #9 |
| Verdächtige Hooks in diversen Dateien laut GMER Habe eine DVD hier - für was wird diese von dir benötigt? Gruß, boogiee |
11.06.2013, 19:22 | #10 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER [indent] Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows Vista, 7, 8) Hinweise für Windows 8-Nutzer: Anleitung 1 (FRST-Variante) und Anleitung 2 (zweiter Teil)
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
12.06.2013, 21:26 | #11 |
| Verdächtige Hooks in diversen Dateien laut GMER Hallo Schrauber, danke für dein Engagement. Ich habe die Analyse mit dem frst64 ausgeführt. Ist es nicht ein wenig riskant, mein System hier offenzulegen? Gruß, boogiee |
13.06.2013, 07:38 | #12 |
/// the machine /// TB-Ausbilder | Verdächtige Hooks in diversen Dateien laut GMER Nö, wieso? Da steht nix drin was gegen Dich verwendet werden kann. Ausser ich finde Cracks
__________________ gruß, schrauber Proud Member of UNITE and ASAP since 2009 Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM! |
Themen zu Verdächtige Hooks in diversen Dateien laut GMER |
aktivierung, appdata, auswertung, bytes, c:\windows, code, dateien, diverse, driver, fritzbox, gmer, harddisk, ide, internet, nichts, nvidia, rootkits, scan, service, system, system32, temp, trojaner, update, win32k.sys, wireshark |