Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   gmer-Fund nach Antivir Update (https://www.trojaner-board.de/71186-gmer-fund-antivir-update.html)

harlud 18.03.2009 22:54
gmer-Fund nach Antivir Update
 
Hallo zusammen! Ich hatte heute Zeit und habe daher free-Antivir von Version 8 auf Version 9 geupgedatet. Anschließend konnte Ccleaner einen heimatlosen Registryeintrag nicht löschen(Systemangaben unten):
Zitat:
Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
Der Eintrag war auch direkt in der Regitry nicht zu löschen. Der Systemcheck mit Antivir 9 war ohne Befund. Darauf habe ich mit gmer heruntergeladen und bekam folgende Meldung:
Zitat:
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 21:40:52
Windows 5.0.2195 Service Pack 4


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Im abgesicherten Modus konnte Ccleaner den o.a. Registry-Eintrag löschen. Ein gmer-Test war danach im abgesicherten Modus ohne Befund. Im Normalmodus war der o.a. Registryeintrag bei Ccleaner immer noch weg. Trotzdem gabs bei gmer wieder die Meldung
Zitat:
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 22:37:31
Windows 5.0.2195 Service Pack 4


---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Hat das was zu bedeuten- besser: was hat das zu bedeuten?
Mein System:
Zitat:
Computer:
Betriebssystem Microsoft Windows 2000 Professional
OS Service Pack Service Pack 4
DirectX 4.09.00.0904 (DirectX 9.0c)
Computername H-TFDV3P0NOXMN4
Benutzername Administrator

Motherboard:
CPU Typ Intel Pentium II, 350 MHz (3.5 x 100)
Motherboard Name Intel Rochester RC440BX
Motherboard Chipsatz Intel 82440BX/ZX
Arbeitsspeicher 288 MB (SDRAM)
BIOS Typ AMI (10/02/98)
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-18 22:37:31
Windows 5.0.2195 Service Pack 4
PS.: Der Computer läuft wie sonst, ein HijackThis-File war so wie sonst auch. Ich habe nicht den Windows-MBR sondern GRUB als Bootmanager und Puppy als Betriebssystem zum Surfen (dual Boot).
Viele Grüße harlud

john.doe 18.03.2009 23:15
Oha, das sieht übel aus.

Also ich empfehle in diesem Fall mal über den Tellerrand hinauszublicken und auf Puppy auszuweichen.
4.2 Deep Thought Developer's ToDo list | Puppy Linux ;)

ciao, andreas

a5cl3p1o5 18.03.2009 23:20
Zitat:
Oha, das sieht übel aus.
Redwulf und ich hatten uns auch schon überlegt, ob es nicht besser wäre die Datei bei Virustotal überprüfen zu lassen ;)

Redwulf 18.03.2009 23:22
*HUMPF*:party:

harlud 18.03.2009 23:34
Hallo Ihr Purschen! Ich tu, was ich kann! http://www.trojaner-board.de/69616-b...linuxland.html
Danke für das Zitat.
Es würde mir reichen, wenn Ihr mir sagen könntet, ob
Zitat:
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys
ein normaler Befund in gmer ist oder was er zu bedeuten hat.
Übrigens bin ich im Augenblick wieder mit Puppy hier. Davon verstehe ich noch weniger als von Windows und es gibt es gar keine Programme wie Ccleaner und gmer. Das schont die Nerven. Gruß harlud

harlud 19.03.2009 13:34
Also fltmgr.sys ist laut Jotti keine Malware. Blacklight findet nichts. Mit anderen Worten: die Probleme mit der Registry-Bereinigung nach Antivir9 Upgrade (s.o.) kommen offenbar nicht von einem Rootkit. Warum ist ein Registry-Eintrag nicht vom Ccleaner zu löschen oder nur im abgesicherten Modus? Meine Probleme bei der gmer-Auswertung hängen sicher auch damit zusammen, daß ich keine ausführliche Anleitung für gmer hatte. Diese hilft etwas:
Stealth-Viren: Rootkits erkennen und beseitigen - Für Profis: So finden Sie jedes Versteck - CHIP Online
Gruß harlud

Kaos 19.03.2009 14:27
fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation). Das ist der Minifilter von MS der auch von Avira benutzt werden soll. (Comodo und ThreatFire nutzen ihn ebenfalls) Führe mal cmd aus und gebe
"fltmc" ein und/oder fltmc instances.

Hier hatte Jemand einen BSOD wegen fltmgr.sys http://forum.avira.com/wbb/index.php?page=Thread&threadid=12757

harlud 19.03.2009 19:43
Hallo Kaos! Danke für Deine Antwort. Ich habe zur Zeit kein Problem mit dem Windowsteil, wollte nur wissen, was war. Deinen Rat habe ich befolgt, kann nur das Ergebnis nicht deuten.
FilterName: avgntflt NumInstances: 5 Frame : 0
Bei den Instances steht \Device\LanmanRedirector Altitude 320500
bei den Laufwerken C: bis F: ebenfalls Altitude 320500
Ich habe das alte Antivir8 beim Versionsupgrade auf Version 9 von der Installationsroutine deinstallieren lassen. Dabei ist wahrscheinlich der Registry-Fehler entstanden, der sich nur im abgesicherten Modus löschen ließ (offene Frage: warum?). Meine Vermutung, der Grund könne ein Root-Kit sein, hat sich offenbar nicht bestätigt. Mein Irrtum hing wohl mit der fehlenden Anweisung für gmer zusammen.
Das komplette gmer.log ist hier:
GMER 1.0.15.14939 - http://www.gmer.net
Rootkit scan 2009-03-19 13:21:08
Windows 5.0.2195 Service Pack 4


---- System - GMER 1.0.15 ----

SSDT 8172CC26 ZwCreateKey
SSDT 8172CC1C ZwCreateThread
SSDT 8172CC2B ZwDeleteKey
SSDT 8172CC35 ZwDeleteValueKey
SSDT 8172CC3A ZwLoadKey
SSDT 8172CC08 ZwOpenProcess
SSDT 8172CC0D ZwOpenThread
SSDT 8172CC44 ZwReplaceKey
SSDT 8172CC3F ZwRestoreKey
SSDT 8172CC30 ZwSetValueKey
SSDT 8172CC17 ZwTerminateProcess

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\Explorer.EXE [KERNEL32.DLL!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessA] [23021346] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\ADVAPI32.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\RPCRT4.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\Secur32.dll [KERNEL32.DLL!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\Secur32.dll [KERNEL32.DLL!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\Secur32.dll [KERNEL32.DLL!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\Secur32.dll [KERNEL32.DLL!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\GDI32.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USER32.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExA] [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessA] [23021346] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHLWAPI.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessA] [23021346] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\msvcrt.dll [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\SHELL32.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\OLE32.DLL [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\NETAPI32.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2_32.DLL [KERNEL32.DLL!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WS2HELP.DLL [KERNEL32.DLL!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!CreateProcessW] [230214FD] C:\WINNT\AppPatch\AcLayers.DLL (Windows 2000 Shim Accessory DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\USERENV.DLL [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WININET.dll [KERNEL32.dll!LoadLibraryW] [760B786F] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WININET.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WININET.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\WININET.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress] [760B771E] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryA] [760B7800] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExW] [760B7955] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!LoadLibraryExA] [760B78DE] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)
IAT C:\WINNT\Explorer.EXE[1040] @ C:\WINNT\system32\CRYPT32.dll [KERNEL32.dll!FreeLibrary] [760B7A04] C:\WINNT\system32\shim.dll (Shim Engine DLL/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Bleibt die Frage: warum läßt sich ein Registryeintrag nicht löschen?
Viele Grüße harlud

john.doe 19.03.2009 19:45
Genug gealbert.

Let me google that for you

2. Link, Userkommentar von dr zook.

ciao, andreas

harlud 19.03.2009 20:05
Danke,danke! Die sind aber auch erst heute darauf gekommen, daß es im abgesicherten Modus geht:
AntiVir Premium v9 - AntiVir Premium und Avira Premium Security Suite - Avira Support Forum
Zitat:
I read your post here an booted to safe mode under the main admin account and searched and found the key. I backed it up and then deleted it.
Alexandru Frigioiu, Moderator,Avira GmbH meint dazu
Zitat:
I think that this registry key is a remnant from Avira 8
Trotzdem: kennt jemand eine brauchbare Anleitung von gmer (besser als Stealth-Viren: Rootkits erkennen und beseitigen - Für Profis: So finden Sie jedes Versteck - CHIP Online
Gruß harlud

Kaos 19.03.2009 21:30
Auf der Gmer Seite gibt es ein paar Beispiellogs und wenn du mehr über das alles wissen willst, lerne Programmieren (Assembler, C/C++). Vor allem API, Delegates, Pointer und und und.

Hurrican 19.03.2009 21:45
Wieso sollte er wenn er mehr über Gmer wissen will Programmieren lernen? Im Endeffeckt weis er wie Viren geschrieben werden und arbeiten, aber nicht wie jeder einzelne Virus funktioniert?

harlud 19.03.2009 21:53
Zitat:
(Assembler, C/C++). Vor allem API, Delegates, Pointer und und und.
Nein danke! Ich weine noch dem Schneider-Basic (für den CPC464) hinterher, was ich mir mal 1985 beigebracht habe. Ich glaube, daß man für C++ dann verdorben ist.
Gruß harlud

Kaos 19.03.2009 22:07
Zitat:
Wieso sollte er wenn er mehr über Gmer wissen will Programmieren lernen? Im Endeffeckt weis er wie Viren geschrieben werden und arbeiten, aber nicht wie jeder einzelne Virus funktioniert?
Natürlich weiss man dann nicht, wie jeder Einzelne Funktioniert, aber man kann dann schon einiges aus den Logs erkennen. Er müsste zwar nicht alles drüber lernen, aber sich ein wenig damit beschäftigen. Ich meine auch nicht um Rootkits zu erkennen, denn die meisten werden wohl von Gmer erkannt und sind gut gekennzeichnet. Was ich meine, sind die ganzen Einträge, die bei einem Vollscan mit Gmer angezeigt werden.

Hurrican 20.03.2009 13:51
Ja aber auch die Logs haben nichts mit C, c++ oder Assembler zu tun.

Meist sind die Pfade vorhanden wie C:\Windows\drivers\etc\virus.dll oda sowas aber fürwas dazu c lernen? Ich kann html, css und versuche c zu lernen. Aber auch wenn ich weder c, noch c++ noch assembler kann kann ich aus den Logs lesen. Man muss sich eben mit den Log direkt beschäftigen und den Programmen, aber mit keinen Programmierspachen?

Was anderes ist mit Scriptsprachen wenn man ne bestimmte bat oder n vbs schreiben muss aber die braucht man ja nicht um logs auszuwerten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:29 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131