|
Log-Analyse und Auswertung: Rootkit.Win32.Agent.pWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
17.11.2007, 19:49 | #1 |
| Rootkit.Win32.Agent.p Hallo! Arovax AntiSpyware hat Rootkit.Win32.Agent.p gefunden. Aber er kann nicht gelöscht werden. Ich weis noch nicht mal ob es den Virus überhaupt gibt. Der Virus soll in diesem Regestry schlüssel sein: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV] Könntet ihr mein PC auf Viren überprüfen? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:46:36, on 17.11.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\HPZipm12.exe C:\Programme\SiteAdvisor\6172\SAService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\SiteAdvisor\6172\SiteAdv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis202.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.alice-dsl.de O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5365 bytes |
18.11.2007, 09:40 | #2 |
| Rootkit.Win32.Agent.p Hallo, das klingt übel. Bestätigt sich der Verdacht, ist eine Bereinigung ausgeschlossen. Auch wenn sich rootkit und Backdoor prinzipiell entfernen lassen, bleibt deine Kiste kompromittiert.
__________________Starte im abgesicherten Modus neu und gib in der Eingabeaufforderung (Ausführen -> "cmd") ein: cd\ -> Enter reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt und poste den Inhalt von C:\rdriv.txt Grüße |
18.11.2007, 12:04 | #3 |
| Rootkit.Win32.Agent.p Ich hab im abgesicherten Modus gestartet und in der Eingabeaufforderung eigeben
__________________cd\ und dann enter gedrückt Dann hab ich reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt eingegeben. Dann sagt er: Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden. |
18.11.2007, 12:25 | #4 |
| Rootkit.Win32.Agent.p hmm, das ist blöd, dabei hätte ich wetten können... Nun gut, suche auf deinem Computer nach rdriv.sys oder rdriv.* und probiere im abgesicherten Modus, die Datei auf den Desktop zu kopieren und in rdriv.ren umzubenennen. Kann gut sein, dass auch das nicht funzt. Wenn es aber funktioniert, starte neu und lade die Datei zur Überprüfung bei virustotal.com hoch und poste die Funde incl. md5 und sh1-Werten. In diesem Fall mache mal einen scan mit combofix und gmer. Speicher den Report von GMER an einem Ort, wo du ihn wieder findest und poste ihn und das combofix-log. Sollte das gmer-log zu groß sein, hoste es zB bei file-upload.net. |
18.11.2007, 12:39 | #6 |
| Rootkit.Win32.Agent.p Yep. Wie gesagt, das ist eine hartnäckige Sache. Die Aktion hier dient auch nicht der Bereinigung, sondern soll nur den Fund bestätigen. |
18.11.2007, 12:39 | #7 |
| Rootkit.Win32.Agent.p Ich hab combofix gedownloadet und gestartet dann sagt er irgent was dass die kopie zu alt ist. |
18.11.2007, 13:00 | #9 |
| Rootkit.Win32.Agent.p GMER 1.0.13.12551 - http://www.gmer.net Rootkit scan 2007-11-18 12:59:25 Windows 5.1.2600 Service Pack 2 ---- Kernel code sections - GMER 1.0.13 ---- .text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 70, 22, 0C, F6, 00, 85, 0C, ... ] ---- User code sections - GMER 1.0.13 ---- .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 004C7DC9 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 004C7E0F C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 004C7C7D C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 004C7C2C C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 004C7CCE C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 004C7C47 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 004C7C98 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 004C7C62 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 004C7CB3 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe .text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 004C7C11 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe ---- Kernel code sections - GMER 1.0.13 ---- ? srescan.sys Das System kann die angegebene Datei nicht finden. ? C:\WINDOWS\system32\12.tmp Das System kann die angegebene Datei nicht finden. ---- Devices - GMER 1.0.13 ---- AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys ---- Kernel IAT/EAT - GMER 1.0.13 ---- IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F60D4360] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F60BF5C0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F60BF510] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F60BF6C0] \SystemRoot\System32\vsdatant.sys IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F60BF220] \SystemRoot\System32\vsdatant.sys ---- System - GMER 1.0.13 ---- SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection SSDT F7C50894 ZwCreateThread SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile SSDT F7C50880 ZwOpenProcess SSDT F7C50885 ZwOpenThread SSDT \SystemRoot\System32\vsdatant.sys ZwRenameKey SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey SSDT F7C5088F ZwTerminateProcess SSDT F7C5088A ZwWriteVirtualMemory ---- EOF - GMER 1.0.13 ---- |
18.11.2007, 14:10 | #10 |
| Rootkit.Win32.Agent.p Ich sehe nüscht. Kann gut sein, dass das Teil GMER umgeht, umso erstaunlicher wäre allerdings, dass es durch dein antispyware-Programm gefunden wurde. Ok. probieren wir folgendes: 1. Lade dir icesword 1.20 2. Starte icesword - kann sein, dass es auch nicht funzt, aber wenn: 3. Gehe auf plugin -> choose -> filereg.icp 4. es öffnet sich eine shell 5. Gib ein: mount 0 0 6. save c:\icesearch.txt 7. search 8. unsave 9. exit 10. poste bitte icesearch.txt Zusätzlich/alternativ lade dir Rootkitunhooker (ich habe nur chip gefunden , die homepages wechseln irgendwie ständig) - Installiere rkunhooker - In der Reiterleiste gaaanz rechts findest du Report - führe den Report aus und poste das Log hier bzw. verlinke auf eine Hoster (k.A., wie groß das Teil wird) |
18.11.2007, 14:42 | #11 |
| Rootkit.Win32.Agent.p Das mit icesword geht nicht. Hir ein Bild http://bildupload.sro.at/a/images/179-Unbenannt.JPG Ich mach nach her mit Rootkitunhooker. Hab grad keine Zeit. |
18.11.2007, 14:50 | #12 |
| Rootkit.Win32.Agent.p Die shell ist offen, schon mal gut: nach mount 0 0 gib jeweils ohne "" ein: 6. "save c:\icesearch.txt" 7. "search" (und nicht serach ) 8. "unsave" zum Verlassen: "exit" |
18.11.2007, 16:22 | #13 |
| Rootkit.Win32.Agent.p Ich hoffe ich habs richtig gemacht. Weil es ist sehr viel. > Please wait... Hidden file: \Dokumente und Einstellungen\Benni\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\10r3d46o.default\Cache\F558305Ad01 Done. > > Rootkitunhooker sagt immer wenn ich es öffnen will "Error loading Data File" Geändert von Das Perd mit dem Virus (18.11.2007 um 16:38 Uhr) |
18.11.2007, 17:42 | #14 |
| Rootkit.Win32.Agent.p So langsam bin ich mit meinem Latein am Ende. Die Fehlermeldung von rkunhooker kann von Software, insb. Treibern stammen, oder das rootkit sperrt. Der Fund von icesword taugt nix. Ok, zurück zum Start: gib in der Eingabeaufforderung ein: Code:
ATTFilter cd\ reg export HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV rdriv.txt - lade dir win debugging tools von MS (v6.8.4.0) - installiere das Paket und starte windbg.exe - File -> Symbol File path -> in das Fenster trage ein (am besten mit copy&paste): Code:
ATTFilter SRV*<C:\Symbols>*http://msdl.microsoft.com/download/symbols - dann gehe wieder auf File, dort auf "Kernel debug" - Im sich öffnenden Fenster wählst du "Local" (ganz rechts). - die Frage, ob Imfos im workspace gespeichert werden sollen, verneinst du - es öffnet sich ein weißes Fenster, am unteren Rand erscheint die Befehlszeile, der Prompt sollte lkd> heißen - dort gib ein, ohne "": 1. "!chkimg -d nt" 2. "lmfk" Markiere die Ausgabe mit Strg+A, kopiere mit Strg+C, öffne den editor und füge den text mit Strg+V ein, speicher das log und poste bitte seinen Inhalt. Vielleicht sieht man was. Sollte das debugging nicht funktionieren, kopiere bitte trotzdem die Ausgabe und poste den Inhalt. Geändert von ordell1234 (18.11.2007 um 17:59 Uhr) |
18.11.2007, 18:32 | #15 |
| Rootkit.Win32.Agent.p Hir die erste sache. Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV] "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000] "Service"="rdriv" "Legacy"=dword:00000001 "ConfigFlags"=dword:00000000 "Class"="LegacyDriver" "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}" "DeviceDesc"="rdriv" "Capabilities"=dword:00000000 "Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0026" [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000\LogConf] |
Themen zu Rootkit.Win32.Agent.p |
antispyware, antivir, avira, bho, dateien, desktop, einstellungen, explorer, firefox, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, monitor, mozilla, mozilla firefox, programme, s-1-5-18, siteadvisor, software, system, trend micro, viren, virus, windows, windows xp |