Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Frage zu GMER Meldung: sector 63 rootkit-like behaviour

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.01.2010, 10:24   #1
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo zusammen,

ich hatte einen Virus der den Prozess svchost stark ausgelastet hat, habe ich aber direkt bemerkt und den Schädling beseitigt mit der CT Notfall CD (aktuelles Signatiren Update).
Anschließend habe ich mit der WinXP CD in der Konsole mit FIXMBR den Bootsektor neu geschrieben.
Danach habe ich das System noch mal mit weiteren Tools getestet:
- Avira Personal (aggresive Einstellung/ check der MBR)
- HijackThis
- Anti-Spy
- GMER
- MBR.EXE (von der GMER Seite)

jetzt meldet GMER unter Rootkit/Malware
DISK \Device\Harddisk0\DR0 sector 63: rootkit like behaviour, copy of MBR

MBR.EXE gibt aus: user & kernel mbr ok

das ganze ist nicht farblich besonders markiert und ich verstehe das in erster Linie als Hinweis, was sagt ihr dazu

zur Info: die Platte ist partitioniert, die zweite Parttion auf 2 Laufwerke aufgeteilt. Gibt es PC Konfigurationen die diese Meldung verursachen.

vielen Dank schon mal

mit freundlichen Grüssen

Lutz

Alt 02.01.2010, 11:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo und

Wenn Du den MBR über fixmbr repariert ist, dürfte der MBR ok sein. Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!


Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.
__________________

__________________

Alt 03.01.2010, 08:10   #3
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo Arne,

ich habe die Anleitung befolgt und die log-files hier hochgeladen als zip. h**p://w*w.file-upload.net/download-2125207/log.zip.html


Ich habe dabei noch einen Startup EIntrag der siszyd32.exe gefunden und gelöscht und ein zweites mal laufen lassen, jetzt ist sauber. Die Datei siszyd32.exe hatte der Virensacnner aber gefunden und gelöscht zusammen mit 2 weiteren Dateien.

Gruß

Lutz
für deine Hilfe
__________________

Alt 03.01.2010, 17:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Code:
ATTFilter
Infizierte Dateien:
E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.
E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.
         
Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?

Code:
ATTFilter
2009-12-31 10:27:17 ----D---- C:\INFECTED
2009-12-31 06:34:22 ----D---- C:\knclogs
         
Was ist in diesen Ordnern?

Lade dir Lop S&D herunter.

Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.

Windows Vista und 7: Rechtsklick auf Lop S&D.exe => Ausführen als Admin!!

Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 03.01.2010, 18:25   #5
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



[QUOTE=cosinus;491589]
Code:
ATTFilter
Code:
ATTFilter
Infizierte Dateien:
E:\@ Setups_Downloaded\E-Technik\ProDelphi\Setup.exe (Trojan.FakeAlert) -> No action taken.
E:\Sources\prodel\Setup.exe (Trojan.FakeAlert) -> No action taken.
         
Wo hast Du diese Setups her? Stammen die aus einer vertrauenswürdigen Quelle?
Die Setups sind recht alte Programme aus DOS/Win3.11 bzw Win95 Zeiten, habe sie noch nicht gelöscht sind aber sauber. Es sind Profiler für Turbo Pascal bzw Turbo Pascal für Windows.
Ich habe sie aber trotzdem bei VirusTotal.com gecheckt, sind auch da sauber.
Code:
ATTFilter
Code:
ATTFilter
2009-12-31 10:27:17 ----D---- C:\INFECTED
2009-12-31 06:34:22 ----D---- C:\knclogs
         
Was ist in diesen Ordnern?
Die Ordner wurden von der CT Rettungs CD angelegt, dort wurden die infizierten Dateien in Quarantäne geschickt und natürlich umbenannt.
Code:
ATTFilter
Lade dir Lop S&D  herunter. 
        
Windows2000/XP: Führe Lop S&D.exe per Doppelklick aus.
         
Mach ich

viele Grüsse

Lutz


Alt 03.01.2010, 19:22   #6
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo,

so jetzt hab ich es gesacnnt un hochgeladen
w*w.file-upload.net/download-2127039/lopR.txt.html

dort habe ich ein merkwürdiges verzeichnis gefunden
VZXdxfUqEAF

darin ist die Datei
PCGWIN32.LI5

habe die Datei bei virus-total.com geprüft aber ohne Befund, der Ordner wurde am gleichen Tag zur gleichen Uhrzeit angelegt als ich einen Streckenbaukasten für GTL Rennsimulation installiert habe. Werde diese Setup Datei mal bei VirusTotal checken

Gruß

Lutz

Alt 04.01.2010, 10:55   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Das ist schon sehr
Bitte CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.01.2010, 14:38   #8
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo Arne,

was ist denn der Grund, welche Angabe gibt denn Grund für die Annahme das etwas nicht stimmt? Könntest du mir evtl. dazu noch eine Info geben.

Gruß

Lutz

Alt 04.01.2010, 14:48   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hm was möchstest Du jetzt wissen? Das bezog sich auf den Namen des Ordners
Bitte CF ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 04.01.2010, 21:02   #10
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo Arne,

danke für die Antwort, der Name des Orners wars also, hatte mich auch stutzig gemacht. Wie gesagt die Datei im Ordener hatte ich daraufhuin gescannt bei virus-total.com. Das Setup welches diese angelegt hatte habe ich auch gescannt. Beides ohne Viren, soweit man das sagen kann.

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130224/ComboFix.txt.html

viele Grüsse

Lutz

Alt 05.01.2010, 06:10   #11
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo Arne,

neuer link

Hier das Ergebnis von CoFi
w*w.file-upload.net/download-2130969/ComboFix.txt.html

viele Grüsse

Alt 05.01.2010, 07:39   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
DirLook::
C:\INFECTED
C:\knclogs

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"wave1"=-
"mixer1"=-

File::
c:\windows\system32\avmwav32.drv
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\drivers\CBUL32.sys
c:\windows\wpd99.drv

Drivers::
CBUL32
wyvnj
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.01.2010, 18:03   #13
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hallo Arne,

der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys

Die fjhdyfhsn.bat war eine Endlosschleife die so lange läuft bis der Iinternet Explorer gelöscht ist, sonst hat die nichts gemacht, hat aber nicht funktioniert da der bei mir iexplore.exe und nicht wie in der Bat iexplorer.exe heißt.

Bei dem WPD99.DRV weiß ich noch nicht was es war.

Wenn das File die Dateien löschen sollte wäre ein Info nicht schlecht gewesen weil ich mich schon ein bißchen auskenne, werde es aber auch wieder hinbekommen.

hier das Logfile:
Code:
ATTFilter
ComboFix 10-01-04.01 - lutz0 05.01.2010  18:20:18.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.767.442 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\lutz0\Desktop\CoFi.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\lutz0\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

FILE ::
"c:\windows\system32\avmwav32.drv"
"c:\windows\system32\drivers\CBUL32.sys"
"c:\windows\system32\fjhdyfhsn.bat"
"c:\windows\wpd99.drv"
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\avmwav32.drv
c:\windows\system32\drivers\CBUL32.sys
c:\windows\system32\fjhdyfhsn.bat
c:\windows\wpd99.drv

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CBUL32
-------\Service_CBUL32


(((((((((((((((((((((((   Dateien erstellt von 2009-12-05 bis 2010-01-05  ))))))))))))))))))))))))))))))
.

2010-01-04 20:34 . 2010-01-04 20:52	--------	d-----w-	C:\CoFi
2010-01-03 18:27 . 2010-01-03 19:08	--------	d-----w-	C:\Lop SD
2010-01-02 16:39 . 2010-01-03 08:18	--------	d-----w-	C:\rsit
2010-01-02 12:09 . 2010-01-02 12:09	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Malwarebytes
2010-01-02 12:09 . 2009-12-30 13:55	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-02 12:09 . 2010-01-02 12:09	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-01-02 12:09 . 2009-12-30 13:54	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-12-31 09:27 . 2009-12-31 09:27	--------	d-----w-	C:\INFECTED
2009-12-31 05:34 . 2009-12-31 04:50	--------	d-----w-	C:\knclogs
2009-12-29 22:03 . 2009-12-29 22:03	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\FreeFixer
2009-12-29 22:03 . 2009-12-29 22:03	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\FreeFixer
2009-12-23 20:38 . 2003-08-19 18:31	81920	----a-w-	c:\windows\system32\viscomwave.dll
2009-12-20 17:36 . 2009-12-20 17:36	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TracerDAQ
2009-12-20 17:36 . 2009-12-20 17:36	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Meilhaus Electronic
2009-12-20 12:18 . 2009-12-20 12:18	--------	d-----w-	c:\programme\Meilhaus Electronic
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\dokumente und einstellungen\LocalService\Startmenü
2009-12-19 19:43 . 2009-11-25 10:19	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-12-19 19:43 . 2009-03-30 08:33	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2009-12-19 19:43 . 2009-02-13 10:29	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2009-12-19 19:43 . 2009-02-13 10:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\programme\Avira
2009-12-19 19:43 . 2009-12-19 19:43	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-12-07 18:44 . 2009-12-07 18:44	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-12-07 05:06 . 2009-12-07 05:08	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\Temp

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-05 05:46 . 2009-01-17 19:27	34176	----a-w-	c:\dokumente und einstellungen\lutz0\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-01-04 19:14 . 2009-05-03 10:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2010-01-01 18:06 . 2009-01-18 13:17	664	----a-w-	c:\windows\system32\d3d9caps.dat
2009-12-30 08:24 . 2009-12-30 08:22	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiSpyInfo
2009-12-22 05:35 . 2009-09-03 18:37	--------	d-----w-	c:\programme\Opera
2009-12-20 12:18 . 2009-02-03 20:10	--------	d--h--w-	c:\programme\InstallShield Installation Information
2009-12-20 07:28 . 2009-12-06 08:18	--------	d-----w-	c:\programme\TuneUp Utilities 2009
2009-12-16 16:43 . 2009-09-28 17:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\pdf995
2009-12-06 12:22 . 2009-01-17 18:45	84318	----a-w-	c:\windows\system32\perfc007.dat
2009-12-06 12:22 . 2009-01-17 18:45	458476	----a-w-	c:\windows\system32\perfh007.dat
2009-12-06 12:16 . 2009-01-17 19:10	86327	----a-w-	c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2009-12-06 08:19 . 2009-12-06 08:19	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\TuneUp Software
2009-12-06 08:18 . 2009-12-06 08:18	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-12-06 08:18 . 2009-12-06 08:18	--------	d-sh--w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-12-01 19:52 . 2009-10-15 17:15	--------	d-----w-	c:\dokumente und einstellungen\lutz0\Anwendungsdaten\Winamp
2009-11-14 17:48 . 2009-11-14 17:48	--------	d-----w-	c:\programme\Gemeinsame Dateien\DivX Shared
2009-01-17 18:28 . 2009-01-17 18:27	23480	---ha-w-	c:\programme\folder.htt
2004-03-15 16:51 . 2004-03-15 16:51	114688	----a-w-	c:\programme\internet explorer\plugins\LV71ActiveXControl.dll
2006-01-23 09:32 . 2006-01-23 09:32	131072	----a-w-	c:\programme\internet explorer\plugins\LV80ActiveXControl.dll
2007-02-08 09:48 . 2007-02-08 09:48	133920	----a-w-	c:\programme\internet explorer\plugins\LV82ActiveXControl.dll
2007-07-24 18:03 . 2007-07-24 18:03	118784	----a-w-	c:\programme\internet explorer\plugins\LV85ActiveXControl.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
---- Directory of C:\INFECTED ----


---- Directory of C:\knclogs ----

2009-12-31 05:34 . 2009-12-31 05:34	45709	------w-	c:\knclogs\20091231-0634.zip


((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe" [2007-08-23 455968]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Matrox PowerDesk SE"="c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [2008-08-22 2655488]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"niDevMon"="d:\programme\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2007-07-14 106064]
"SerExt"="SerExt.exe" [2004-03-25 61440]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^CAPI - Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\CAPI - Monitor.lnk
backup=c:\windows\pss\CAPI - Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^talk&surf 6.0 - Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\talk&surf 6.0 - Monitor.lnk
backup=c:\windows\pss\talk&surf 6.0 - Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-02-27 16:10	35696	----a-w-	d:\programme\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2009-05-03 10:41	39408	----a-w-	c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2009-07-01 16:37	37888	----a-w-	d:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\programme\\National Instruments\\Vision\\NIVisSvr.exe"=
"e:\\Sources\\labview 8.5\\builds\\halloween-2\\Meine Applikation\\Application.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\programme\\National Instruments\\LabVIEW 8.5\\LabVIEW.exe"=
"c:\\Programme\\Opera\\opera.exe"=

R0 amdagpxp;AMD NB AGP Bus Filter;c:\windows\SYSTEM32\DRIVERS\amdagpxp.sys [18.01.2009 12:26 27776]
R0 nipbcfk;National Instruments Class Upper Filter Driver;c:\windows\SYSTEM32\DRIVERS\nipbcfk.sys [10.07.2007 20:08 15448]
R1 avmdrv32;FAST AV Master;c:\windows\SYSTEM32\DRIVERS\AVMdrv32.sys [18.01.2009 10:10 262656]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [19.12.2009 20:43 108289]
R2 CAPI;CAPI 2.0 Service;c:\windows\SYSTEM32\DRIVERS\capi.sys [14.02.2009 12:58 27699]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [03.02.2009 13:53 1155072]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [22.08.2008 16:32 591104]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [22.08.2008 16:32 193792]
R2 NDISCAPI;NDIS CAPI Service;c:\windows\SYSTEM32\DRIVERS\ndiscapi.sys [14.02.2009 12:58 26684]
R2 ni488enumsvc;NI-488.2 Enumeration Service;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]
R2 nicanpk;nicanpk;c:\windows\SYSTEM32\DRIVERS\nicanpkl.sys [17.07.2007 14:46 11336]
R2 nidevldu;NI Device Loader;c:\windows\SYSTEM32\nipalsm.exe [16.02.2007 11:21 12696]
R2 nipxirmk;nipxirmk;c:\windows\SYSTEM32\DRIVERS\nipxirmkl.sys [22.02.2007 12:18 11552]
R2 NiViPxiK;NI-VISA PXI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPxiKl.sys [19.07.2007 11:56 11360]
R3 DectEnum;DectEnum;c:\windows\SYSTEM32\DRIVERS\DectEnum.sys [25.03.2004 16:01 8448]
R3 HRCMPA;ISDN Wan driver (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\hrcmpa.sys [28.08.2003 07:44 249910]
R3 nidimk;nidimk;c:\windows\SYSTEM32\DRIVERS\nidimkl.sys [12.07.2007 18:18 11360]
R3 nimru2k;nimru2k;c:\windows\SYSTEM32\DRIVERS\nimru2kl.sys [24.07.2007 12:19 11360]
R3 nimstsk;nimstsk;c:\windows\SYSTEM32\DRIVERS\nimstskl.sys [13.07.2007 20:00 11360]
S0 wyvnj;wyvnj; [x]
S2 gupdate1c9cbdbed070780;Google Update Service (gupdate1c9cbdbed070780);c:\programme\Google\Update\GoogleUpdate.exe [03.05.2009 11:42 133104]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [07.08.2008 09:10 3276800]
S3 Gigusb;Dect USB Driver;c:\windows\SYSTEM32\DRIVERS\Gigusb.sys [25.03.2004 16:11 53632]
S3 IUAPIWDM;ISDN USB Interface (Ver. 1.20.0029);c:\windows\SYSTEM32\DRIVERS\IUAPIWDM.sys [19.08.2003 16:46 53552]
S3 lvalarmk;lvalarmk;c:\windows\SYSTEM32\DRIVERS\lvalarmk.sys [11.01.2007 10:18 20256]
S3 ni1006k;NI PXI-1006 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1006k.sys [22.02.2007 12:40 25888]
S3 ni1045k;NI PXI-1045 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1045kl.sys [22.02.2007 12:43 11552]
S3 ni1065k;NI PXIe-1065 Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\ni1065k.sys [25.05.2007 13:26 22360]
S3 ni488lock;NI-488.2 Locking Service;c:\windows\SYSTEM32\DRIVERS\ni488lock.sys [26.02.2007 12:40 16672]
S3 nicdrk;nicdrk;c:\windows\SYSTEM32\DRIVERS\nicdrkl.sys [15.07.2007 17:44 11352]
S3 nidmxfk;nidmxfk;c:\windows\SYSTEM32\DRIVERS\nidmxfkl.sys [13.07.2007 22:38 11336]
S3 nidsark;nidsark;c:\windows\SYSTEM32\DRIVERS\nidsarkl.sys [19.07.2007 03:06 11344]
S3 niemrk;niemrk;c:\windows\SYSTEM32\DRIVERS\niemrkl.sys [24.07.2007 19:37 11336]
S3 niesrk;niesrk;c:\windows\SYSTEM32\DRIVERS\niesrkl.sys [24.07.2007 19:37 11336]
S3 nifslk;nifslk;c:\windows\SYSTEM32\DRIVERS\nifslkl.sys [15.07.2007 18:31 11352]
S3 niimaqk;NI-IMAQ Driver;c:\windows\system32\drivers\niimaqk.sys --> c:\windows\system32\drivers\niimaqk.sys [?]
S3 nimsdrk;nimsdrk;c:\windows\SYSTEM32\DRIVERS\nimsdrkl.sys [18.07.2007 10:47 11392]
S3 nimslk;nimslk;c:\windows\SYSTEM32\DRIVERS\nimslk.dll [21.06.2007 00:19 14464]
S3 nimsrlk;nimsrlk;c:\windows\SYSTEM32\DRIVERS\nimsrlk.dll [21.06.2007 00:19 151683]
S3 nimxpk;nimxpk;c:\windows\SYSTEM32\DRIVERS\nimxpkl.sys [13.07.2007 20:01 11368]
S3 ninshsdk;ninshsdk;c:\windows\SYSTEM32\DRIVERS\ninshsdkl.sys [19.07.2007 13:49 11360]
S3 nipalfwedl;nipalfwedl;c:\windows\SYSTEM32\DRIVERS\nipalfwedl.sys [18.07.2007 21:11 11904]
S3 nipalusbedl;nipalusbedl;c:\windows\SYSTEM32\DRIVERS\nipalusbedl.sys [18.07.2007 21:12 11896]
S3 nipxigpk;NI PXI Generic Chassis Pilot;c:\windows\SYSTEM32\DRIVERS\nipxigpk.sys [22.02.2007 12:45 20768]
S3 niscdk;niscdk;c:\windows\SYSTEM32\DRIVERS\niscdkl.sys [19.07.2007 02:32 11376]
S3 nisdigk;nisdigk;c:\windows\SYSTEM32\DRIVERS\nisdigkl.sys [17.07.2007 00:27 11352]
S3 nisftk;nisftk;c:\windows\SYSTEM32\DRIVERS\nisftkl.sys [16.07.2007 12:52 11344]
S3 nispdk;nispdk;c:\windows\SYSTEM32\DRIVERS\nispdkl.sys [19.07.2007 02:32 11376]
S3 nissrk;nissrk;c:\windows\SYSTEM32\DRIVERS\nissrkl.sys [24.07.2007 19:37 11336]
S3 nistc2k;nistc2k;c:\windows\SYSTEM32\DRIVERS\nistc2kl.sys [15.07.2007 16:48 11312]
S3 nistcrk;nistcrk;c:\windows\SYSTEM32\DRIVERS\nistcrkl.sys [15.07.2007 17:50 11360]
S3 niswdk;niswdk;c:\windows\SYSTEM32\DRIVERS\niswdkl.sys [17.07.2007 04:18 11336]
S3 nitiork;nitiork;c:\windows\SYSTEM32\DRIVERS\nitiorkl.sys [18.07.2007 22:15 11360]
S3 NiViFWK;NI-VISA FireWire Driver;c:\windows\SYSTEM32\DRIVERS\NiViFWKl.sys [19.07.2007 11:48 11384]
S3 NiViPciK;NI-VISA PCI Driver;c:\windows\SYSTEM32\DRIVERS\NiViPciKl.sys [19.07.2007 11:56 11360]
S3 niwfrk;niwfrk;c:\windows\SYSTEM32\DRIVERS\niwfrkl.sys [24.07.2007 19:37 11336]
S3 nixsrk;nixsrk;c:\windows\SYSTEM32\DRIVERS\nixsrkl.sys [24.07.2007 19:38 11336]
S3 siellif;siellif;c:\windows\SYSTEM32\DRIVERS\siellif.sys [25.03.2004 15:59 113280]
S3 usb6xxxk;usb6xxxk;\??\c:\windows\system32\drivers\usb6xxxkl.sys --> c:\windows\system32\drivers\usb6xxxkl.sys [?]
S3 xControlCOM;xControlCOM;d:\programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe [25.03.2004 16:10 327680]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-08-23 16:34	451872	----a-w-	c:\programme\Gemeinsame Dateien\LightScribe\LSRunOnce.exe
.
Inhalt des "geplante Tasks" Ordners

2010-01-05 c:\windows\Tasks\Google Software Updater.job
- c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-03 10:41]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]

2010-01-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-05-03 10:42]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://news.google.de/nwshp?hl=de&tab=wn
Trusted Zone: adobe.com\get
Trusted Zone: camps-cres-losinj.com\www
Trusted Zone: ni.com\delta
Trusted Zone: ni.com\www
Trusted Zone: phobs.net\secure
Trusted Zone: snogard.de\www
Trusted Zone: stabo.de\www
Trusted Zone: web.de\freemailng1305
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-05 18:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(1724)
c:\windows\system32\ieframe.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
c:\windows\system32\lkcitdl.exe
c:\windows\system32\lkads.exe
c:\windows\system32\lktsrv.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\mgabg.exe
d:\programme\National Instruments\MAX\nimxs.exe
d:\programme\National Instruments\Shared\Security\nidmsrv.exe
c:\windows\system32\nisvcloc.exe
d:\programme\National Instruments\Shared\Tagger\tagsrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\SerExt.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
c:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2010-01-05  18:49:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2010-01-05 17:49
ComboFix2.txt  2010-01-04 20:52

Vor Suchlauf: 684.019.712 Bytes frei
Nach Suchlauf: 570.662.912 Bytes frei

- - End Of File - - DEB35B31A2143215DB89E8E3851FBC12
         
viele Grüsse

Lutz

Alt 05.01.2010, 18:09   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Zitat:
der lauf mit dem Script hat mir jetzt den Treiber der FAST AVMaster gelöscht avmwav32.drv und den Treiber der RedLab AD Wandler Box CBUL32.sys
Ups, die Dinger sahen stark nach Malware aus weil Google keine entsprechenden Infos über Treiber brachte und da frag ich dann auch nicht mehr beim TO nach...
Du bekommst die treiber aber wieder lauffähig oder?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.01.2010, 18:19   #15
lutz.lk
 
Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Standard

Frage zu GMER Meldung: sector 63 rootkit-like behaviour



Hi Arne,

keine Sorge, wird schon klappen

ist denn sonst aus deiner Sicht alles i.O. jetzt

die FAST AV Master ist ja auch kein alltägliches Produkt und die Messhardware von Meilhaus Electronic erst recht nicht.

viele Grüsse

Lutz

Antwort

Themen zu Frage zu GMER Meldung: sector 63 rootkit-like behaviour
ausgelastet, avira, bootsektor, check, device, frage, gmer, gmer sector63 behaviour like, hallo zusammen, harddisk, hijack, laufwerke, mbr.exe, meldung, neu, personal, platte, prozess, schädling, seite, svchost, system, tools, update, virus, winxp



Ähnliche Themen: Frage zu GMER Meldung: sector 63 rootkit-like behaviour


  1. GMER-Rootkit-Analyse !
    Log-Analyse und Auswertung - 05.11.2014 (6)
  2. GMER - Rootkit - Analayse
    Log-Analyse und Auswertung - 09.07.2014 (3)
  3. gmer log bei rootkit
    Log-Analyse und Auswertung - 21.12.2013 (7)
  4. GMER - Rootkit Scanner - VMAUTHSERVICE Rootkit
    Log-Analyse und Auswertung - 27.10.2013 (5)
  5. Frage zu GMER
    Diskussionsforum - 24.08.2013 (1)
  6. Gmer: malicious Win32:MBRoot code @ sector
    Log-Analyse und Auswertung - 26.05.2013 (10)
  7. Disk \Device\Harddisk0\DR0 sector 0: rootkit-like behavior, und einiges mehr!
    Plagegeister aller Art und deren Bekämpfung - 18.05.2013 (6)
  8. Gmer Meldung malicious W32:MBRoot code @ sector 488392068
    Log-Analyse und Auswertung - 04.04.2013 (11)
  9. Rootkit Infektion, danach Windows-Neuinstallation, GMER zeigt erneut Rootkit Aktivitäten an (Avast! false positive?)
    Log-Analyse und Auswertung - 05.03.2013 (2)
  10. Absturz durch Rootkit beim GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 16.12.2010 (4)
  11. Pc Absturz durch Rootkit bei GMER Rootkit Scan
    Plagegeister aller Art und deren Bekämpfung - 12.08.2010 (20)
  12. gmer logfile: sector 63: rootkit-like behavior; copy of MBR
    Plagegeister aller Art und deren Bekämpfung - 19.05.2010 (3)
  13. GMER hat Rootkit gefunden!
    Plagegeister aller Art und deren Bekämpfung - 08.03.2010 (1)
  14. Rootkit mit Gmer gefunden
    Plagegeister aller Art und deren Bekämpfung - 03.03.2010 (5)
  15. Frage zu Gmer Rootkit scanner
    Antiviren-, Firewall- und andere Schutzprogramme - 12.09.2009 (28)
  16. Frage zu GMER Rootkit Scan
    Antiviren-, Firewall- und andere Schutzprogramme - 17.02.2009 (3)

Zum Thema Frage zu GMER Meldung: sector 63 rootkit-like behaviour - Hallo zusammen, ich hatte einen Virus der den Prozess svchost stark ausgelastet hat, habe ich aber direkt bemerkt und den Schädling beseitigt mit der CT Notfall CD (aktuelles Signatiren Update). - Frage zu GMER Meldung: sector 63 rootkit-like behaviour...
Archiv
Du betrachtest: Frage zu GMER Meldung: sector 63 rootkit-like behaviour auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.