Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Rootkit.Win32.Agent.p

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 17.11.2007, 19:49   #1
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Ausrufezeichen

Rootkit.Win32.Agent.p



Hallo!
Arovax AntiSpyware hat Rootkit.Win32.Agent.p gefunden.
Aber er kann nicht gelöscht werden.
Ich weis noch nicht mal ob es den Virus überhaupt gibt.
Der Virus soll in diesem Regestry schlüssel sein:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RDRIV]

Könntet ihr mein PC auf Viren überprüfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:36, on 17.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\SiteAdvisor\6172\SAService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\SiteAdvisor\6172\SiteAdv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Benni\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6172\SiteAdv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.alice-dsl.de
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5365 bytes

Alt 18.11.2007, 09:40   #2
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Hallo, das klingt übel. Bestätigt sich der Verdacht, ist eine Bereinigung ausgeschlossen. Auch wenn sich rootkit und Backdoor prinzipiell entfernen lassen, bleibt deine Kiste kompromittiert.

Starte im abgesicherten Modus neu und gib in der Eingabeaufforderung (Ausführen -> "cmd") ein:

cd\ -> Enter
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

und poste den Inhalt von C:\rdriv.txt

Grüße
__________________


Alt 18.11.2007, 12:04   #3
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Ich hab im abgesicherten Modus gestartet und in der Eingabeaufforderung eigeben

cd\ und dann enter gedrückt

Dann hab ich
reg export HKLM\System\CurrentControlSet\Services\rdriv rdriv.txt

eingegeben.

Dann sagt er:
Fehler: Der angegebene Registrierungsschlüssel oder Wert konnte nicht gefunden werden.
__________________

Alt 18.11.2007, 12:25   #4
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



hmm, das ist blöd, dabei hätte ich wetten können...

Nun gut, suche auf deinem Computer nach rdriv.sys oder rdriv.* und probiere im abgesicherten Modus, die Datei auf den Desktop zu kopieren und in rdriv.ren umzubenennen. Kann gut sein, dass auch das nicht funzt. Wenn es aber funktioniert, starte neu und lade die Datei zur Überprüfung bei virustotal.com hoch und poste die Funde incl. md5 und sh1-Werten.

In diesem Fall mache mal einen scan mit combofix und gmer. Speicher den Report von GMER an einem Ort, wo du ihn wieder findest und poste ihn und das combofix-log. Sollte das gmer-log zu groß sein, hoste es zB bei file-upload.net.

Alt 18.11.2007, 12:35   #5
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Ich hab bei Suche rdriv.sys eingegeben und er findet nichts.
Ich hab auch ein Hacken bei Versteckte Elemente durchsuchen gemacht.

Ich mach dann mit Combofix weiter.
Soll ich bei GMER unten 1.0.13 downloaden?


Alt 18.11.2007, 12:39   #6
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Yep. Wie gesagt, das ist eine hartnäckige Sache. Die Aktion hier dient auch nicht der Bereinigung, sondern soll nur den Fund bestätigen.

Alt 18.11.2007, 12:39   #7
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Ich hab combofix gedownloadet und gestartet dann sagt er irgent was dass die kopie zu alt ist.

Alt 18.11.2007, 12:42   #8
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Dann mach bitte mit GMER weiter.

Alt 18.11.2007, 13:00   #9
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2007-11-18 12:59:25
Windows 5.1.2600 Service Pack 2


---- Kernel code sections - GMER 1.0.13 ----

.text ntoskrnl.exe!_abnormal_termination + 104 804E2760 12 Bytes [ 70, 22, 0C, F6, 00, 85, 0C, ... ]

---- User code sections - GMER 1.0.13 ----

.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColor 7E368E78 5 Bytes JMP 004C7DC9 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetSysColorBrush 7E368EAB 5 Bytes JMP 004C7E0F C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollInfo 7E369056 7 Bytes JMP 004C7C7D C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollInfo 7E370DA2 7 Bytes JMP 004C7C2C C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!ShowScrollBar 7E37F2B3 5 Bytes JMP 004C7CCE C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollPos 7E37F6C4 5 Bytes JMP 004C7C47 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollPos 7E37F710 5 Bytes JMP 004C7C98 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!GetScrollRange 7E37F747 5 Bytes JMP 004C7C62 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!SetScrollRange 7E37F95B 5 Bytes JMP 004C7CB3 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe
.text C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe[3796] USER32.dll!EnableScrollBar 7E3B7DDD 7 Bytes JMP 004C7C11 C:\Programme\Arovax AntiSpyware\arovaxantispyware.exe

---- Kernel code sections - GMER 1.0.13 ----

? srescan.sys Das System kann die angegebene Datei nicht finden.
? C:\WINDOWS\system32\12.tmp Das System kann die angegebene Datei nicht finden.

---- Devices - GMER 1.0.13 ----

AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_READ [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_POWER [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_NAMED_PIPE [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLOSE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_READ [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_WRITE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_EA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FLUSH_BUFFERS [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_VOLUME_INFORMATION [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DIRECTORY_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_FILE_SYSTEM_CONTROL [F75C7454] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_INTERNAL_DEVICE_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SHUTDOWN [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_LOCK_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CLEANUP [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_CREATE_MAILSLOT [F75C71DE] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_SECURITY [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_POWER [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SYSTEM_CONTROL [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_DEVICE_CHANGE [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_QUERY_QUOTA [F75BAF4C] fltmgr.sys
AttachedDevice \FileSystem\Fastfat \Fat IRP_MJ_SET_QUOTA [F75BAF4C] fltmgr.sys

Device \Driver\Tcpip \Device\Ip IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Ip IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CREATE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLOSE [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F60D3C50] vsdatant.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_CLEANUP [F60D3C50] vsdatant.sys

---- Kernel IAT/EAT - GMER 1.0.13 ----

IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\drivers\afd.sys[ntoskrnl.exe!IoCreateFile] [F60D4360] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F60C69D0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F60C6B40] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F60C7050] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F60C6EF0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtOpenFile] [F60BF5C0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtSetInformationFile] [F60BF510] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!IoCreateFile] [F60BF6C0] \SystemRoot\System32\vsdatant.sys
IAT \SystemRoot\System32\DRIVERS\srv.sys[ntoskrnl.exe!NtCreateFile] [F60BF220] \SystemRoot\System32\vsdatant.sys

---- System - GMER 1.0.13 ----

SSDT \SystemRoot\System32\vsdatant.sys ZwConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateFile
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateKey
SSDT \SystemRoot\System32\vsdatant.sys ZwCreatePort
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcess
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateProcessEx
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateSection
SSDT F7C50894 ZwCreateThread
SSDT \SystemRoot\System32\vsdatant.sys ZwCreateWaitablePort
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteFile
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDeleteValueKey
SSDT \SystemRoot\System32\vsdatant.sys ZwDuplicateObject
SSDT \SystemRoot\System32\vsdatant.sys ZwLoadKey
SSDT \SystemRoot\System32\vsdatant.sys ZwOpenFile
SSDT F7C50880 ZwOpenProcess
SSDT F7C50885 ZwOpenThread
SSDT \SystemRoot\System32\vsdatant.sys ZwRenameKey
SSDT \SystemRoot\System32\vsdatant.sys ZwReplaceKey
SSDT \SystemRoot\System32\vsdatant.sys ZwRequestWaitReplyPort
SSDT \SystemRoot\System32\vsdatant.sys ZwRestoreKey
SSDT \SystemRoot\System32\vsdatant.sys ZwSecureConnectPort
SSDT \SystemRoot\System32\vsdatant.sys ZwSetInformationFile
SSDT \SystemRoot\System32\vsdatant.sys ZwSetValueKey
SSDT F7C5088F ZwTerminateProcess
SSDT F7C5088A ZwWriteVirtualMemory

---- EOF - GMER 1.0.13 ----

Alt 18.11.2007, 14:10   #10
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Ich sehe nüscht. Kann gut sein, dass das Teil GMER umgeht, umso erstaunlicher wäre allerdings, dass es durch dein antispyware-Programm gefunden wurde.

Ok. probieren wir folgendes:
1. Lade dir icesword 1.20
2. Starte icesword - kann sein, dass es auch nicht funzt, aber wenn:
3. Gehe auf plugin -> choose -> filereg.icp
4. es öffnet sich eine shell
5. Gib ein: mount 0 0
6. save c:\icesearch.txt
7. search
8. unsave
9. exit
10. poste bitte icesearch.txt

Zusätzlich/alternativ lade dir Rootkitunhooker (ich habe nur chip gefunden , die homepages wechseln irgendwie ständig)

- Installiere rkunhooker
- In der Reiterleiste gaaanz rechts findest du Report
- führe den Report aus und poste das Log hier bzw. verlinke auf eine Hoster (k.A., wie groß das Teil wird)

Alt 18.11.2007, 14:42   #11
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Das mit icesword geht nicht.

Hir ein Bild http://bildupload.sro.at/a/images/179-Unbenannt.JPG

Ich mach nach her mit Rootkitunhooker.
Hab grad keine Zeit.

Alt 18.11.2007, 14:50   #12
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Die shell ist offen, schon mal gut:

nach mount 0 0 gib jeweils ohne "" ein:
6. "save c:\icesearch.txt"
7. "search" (und nicht serach )
8. "unsave"

zum Verlassen: "exit"

Alt 18.11.2007, 16:22   #13
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Ich hoffe ich habs richtig gemacht.
Weil es ist sehr viel.

>
Please wait...
Hidden file: \Dokumente und Einstellungen\Benni\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\10r3d46o.default\Cache\F558305Ad01
Done.
>
>



Rootkitunhooker sagt immer wenn ich es öffnen will "Error loading Data File"

Geändert von Das Perd mit dem Virus (18.11.2007 um 16:38 Uhr)

Alt 18.11.2007, 17:42   #14
ordell1234
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



So langsam bin ich mit meinem Latein am Ende. Die Fehlermeldung von rkunhooker kann von Software, insb. Treibern stammen, oder das rootkit sperrt. Der Fund von icesword taugt nix.

Ok, zurück zum Start: gib in der Eingabeaufforderung ein:
Code:
ATTFilter
cd\
reg export HKLM\System\CurrentControlSet\Enum\Root\LEGACY_RDRIV rdriv.txt
         
und poste den Inhalt von c:\rdriv.txt

- lade dir win debugging tools von MS (v6.8.4.0)
- installiere das Paket und starte windbg.exe
- File -> Symbol File path -> in das Fenster trage ein (am besten mit copy&paste):
Code:
ATTFilter
SRV*<C:\Symbols>*http://msdl.microsoft.com/download/symbols
         
- falls in dem Fenster die Option Reload möglich ist (unten links), setze das Häkchen und bestätige mit OK
- dann gehe wieder auf File, dort auf "Kernel debug"
- Im sich öffnenden Fenster wählst du "Local" (ganz rechts).
- die Frage, ob Imfos im workspace gespeichert werden sollen, verneinst du
- es öffnet sich ein weißes Fenster, am unteren Rand erscheint die Befehlszeile, der Prompt sollte lkd> heißen
- dort gib ein, ohne "":
1. "!chkimg -d nt"
2. "lmfk"

Markiere die Ausgabe mit Strg+A, kopiere mit Strg+C, öffne den editor und füge den text mit Strg+V ein, speicher das log und poste bitte seinen Inhalt. Vielleicht sieht man was.

Sollte das debugging nicht funktionieren, kopiere bitte trotzdem die Ausgabe und poste den Inhalt.

Geändert von ordell1234 (18.11.2007 um 17:59 Uhr)

Alt 18.11.2007, 18:32   #15
Das Perd mit dem Virus
 
Rootkit.Win32.Agent.p - Standard

Rootkit.Win32.Agent.p



Hir die erste sache.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000]
"Service"="rdriv"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="rdriv"
"Capabilities"=dword:00000000
"Driver"="{8ECC055D-047F-11D1-A537-0000F8753ED1}\\0026"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\Legacy_RDRIV\0000\LogConf]

Antwort

Themen zu Rootkit.Win32.Agent.p
antispyware, antivir, avira, bho, dateien, desktop, einstellungen, explorer, firefox, gservice, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, messenger, microsoft, monitor, mozilla, mozilla firefox, programme, s-1-5-18, siteadvisor, software, system, trend micro, viren, virus, windows, windows xp



Ähnliche Themen: Rootkit.Win32.Agent.p


  1. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  2. Rootkit, Bootkit, Rootkit.win32.tdss.ld4 - ich weiss nicht weiter..
    Log-Analyse und Auswertung - 18.03.2013 (1)
  3. Rootkit.Win32.Agent.pp.
    Plagegeister aller Art und deren Bekämpfung - 01.08.2010 (2)
  4. Tr/rootkit.gen windows/system32/Drivers.lnuuf.sys (rootkit Agent)
    Plagegeister aller Art und deren Bekämpfung - 29.05.2010 (1)
  5. rootkit.win32.agent.besn und mehr im system32
    Plagegeister aller Art und deren Bekämpfung - 15.05.2010 (20)
  6. Rootkit.Win32.Agent.besn in system32\drivers\aec.sys / syspck32 im Autostart
    Plagegeister aller Art und deren Bekämpfung - 01.04.2010 (8)
  7. Trojan.Win32.Agent.delx ; Trojan-Downloader.Win32.Agent.bvst; HackTool.Win32.Kiser.fb
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  8. TROJANER meldet ständig über Pop-Up "rootkit win32 Agent pp"
    Log-Analyse und Auswertung - 08.12.2009 (1)
  9. win32.rootkit.agent - Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.09.2009 (6)
  10. Win32/Rootkit.Agent.ODG weiterhin nicht zu erwischen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2009 (21)
  11. win32/olmarik.ju.trojan + win32/rootkit.agent.odg.trojan
    Plagegeister aller Art und deren Bekämpfung - 08.08.2009 (59)
  12. Win32/Rootkit.Agent.ODG Trojaner --- wie bekomm ich den weg?
    Plagegeister aller Art und deren Bekämpfung - 10.07.2009 (3)
  13. Win32/Rootkit.Agent.Odg entfernt - Überprüfung des HJT-Logs
    Log-Analyse und Auswertung - 05.07.2009 (1)
  14. TR/Crypt.XDR.gen, Rootkit.Kobcka.B, Trojan/Win32.Agent, Rootkit-Agent.CW atd.
    Plagegeister aller Art und deren Bekämpfung - 11.04.2009 (1)
  15. Win32:Trojan-gen, Win32:Rootkit-gen, Win32:Adware-gen gefunden!
    Log-Analyse und Auswertung - 14.07.2008 (1)
  16. Rootkit.Win32.Agent.q....bitte hilfe!!!
    Plagegeister aller Art und deren Bekämpfung - 02.11.2005 (1)
  17. HackTool.Win32.Hidd.c / TrojanSpy.Win32.Agent.w / Trojan-Downloader.Win32.Agent.fy
    Plagegeister aller Art und deren Bekämpfung - 21.12.2004 (3)

Zum Thema Rootkit.Win32.Agent.p - Hallo! Arovax AntiSpyware hat Rootkit.Win32.Agent.p gefunden. Aber er kann nicht gelöscht werden. Ich weis noch nicht mal ob es den Virus überhaupt gibt. Der Virus soll in diesem Regestry schlüssel - Rootkit.Win32.Agent.p...
Archiv
Du betrachtest: Rootkit.Win32.Agent.p auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.