Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   W32/Suspicious_Gen5.DUJT infiziert! (https://www.trojaner-board.de/128906-w32-suspicious_gen5-dujt-infiziert.html)

ryder 03.01.2013 18:45
Zitat:
c:\dokumente und einstellungen\Roland\Gutscheinaffe
Von sowas bitte die Finger lassen!

Bevor es weitergeht: Hast du jetzt noch Probleme?

ellrolschell 03.01.2013 20:10
Hallo ryder,
bisher habe ich keine Meldung mehr von Norman bekommen. Schon einmal
vielen Dank.
Woher dieser "Gutscheinaffe" kommt; keine Ahnung. War ein leerer Ordner, den
ich eben gelöscht habe.
Muss jetzt noch irgendetwas gemacht werden?

Roland

ryder 03.01.2013 20:30
ja :)

Gut! :daumenhoc

Soweit ich das sehe haben wir damit alles Schädliche entfernt. Um sicher sein zu können müssen jetzt noch ein paar Kontrollen machen und werden dann deinen Computer noch auf einen sicheren Stand bringen. Da diese Scans jetzt sehr lange dauern können bitte ich dich mir erst wieder zu schreiben, wenn du auch wirklich alles erledigt hast oder Probleme auftreten sollten.

Schritt 1:
Quick-Scan mit Malwarebytes

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quickscan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.
Schritt 2:
ESET Online Scanner

Zitat:
Wichtig:
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten!
Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Bitte hier klicken ---> http://larusso.trojaner-board.de/Images/eset.jpg
    • Firefox-User: Bitte esetsmartinstaller_enu.exe downloaden, installieren und starten.
    • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Haken bei Yes, i accept the Terms of Use/Ja, ich stimme ... zu und drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives/Archive prüfen" und entferne den Haken bei Remove Found Threads/Entdeckte Bedrohungen entfernen.
  • http://img707.imageshack.us/img707/687/starteg.jpg drücken. Die Signaturen werden herunter geladen und der Scan beginnt automatisch und kann sehr lange (einige Stunden) dauern! :kaffee:
Wenn der Scan beendet wurdeBitte poste die ESET.txt hier oder teile mir mit, dass nichts gefunden wurde.

Schritt 3:
Scan mit SecurityCheck
Downloade Dir bitte SecurityCheck: LINK1 LINK2
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.

ellrolschell 05.01.2013 03:57
Guten Morgen,
offensichtlich ist leider immer noch nicht alles sauber. Als der ESET Scanner fertig war, zeigte sich auch wieder die Meldung von Norman mit dem bekannten Text.
Hier nun die gewünschten Dateien:

Malwarebytes:

Code:
Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.04.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Roland :: ACER [Administrator]

Schutz: Aktiviert

04.01.2013 14:57:53
mbam-log-2013-01-04 (14-57-53).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 249157
Laufzeit: 12 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
ESETScanner:

Code:
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1339\A0156899.dll        a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1342\A0157242.dll        a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1343\A0157432.dll        a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1343\A0157583.dll        a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1344\A0157685.dll        a variant of Win32/Mediyes.J trojan
C:\System Volume Information\_restore{3AA9ED94-D0B1-4A74-A9F5-BBADE57A639D}\RP1345\A0157751.dll        a variant of Win32/Mediyes.J trojan
C:\WINDOWS\system32\ntqcfvte.sys        Win32/Mediyes.E trojan
C:\WINDOWS\system32\pngudv6q.dll        a variant of Win32/Mediyes.D trojan
Operating memory        a variant of Win32/Mediyes.J trojan
SecurityCheck:

Code:
Results of screen317's Security Check version 0.99.56 
 Windows XP Service Pack 3 x86 
 Internet Explorer 8 
``````````````Antivirus/Firewall Check:``````````````
Norman Security Suite 
 Antivirus up to date! 
`````````Anti-malware/Other Utilities Check:`````````
 Malwarebytes Anti-Malware Version 1.70.0.1100 
 Adobe Flash Player        11.5.502.135 
 Adobe Reader 9 Adobe Reader out of Date!
 Google Chrome 23.0.1271.95 
 Google Chrome 23.0.1271.97 
````````Process Check: objlist.exe by Laurent```````` 
 Malwarebytes Anti-Malware mbamservice.exe 
 Malwarebytes Anti-Malware mbamgui.exe 
 Malwarebytes' Anti-Malware mbamscheduler.exe 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:: 
````````````````````End of Log``````````````````````
Danke, Roland

ryder 05.01.2013 10:57
Oh das ist gar nicht gar nicht gut ...

Wir müssen da jetzt erstmal tief graben ...


Schritt 2:
Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :filefind
    ntqcfvte
    pngudv6q
    GMSIPCI
    :regfind
    ntqcfvte
    pngudv6q
    GMSIPCI
    :service
    ntqcfvte
    GMSIPCI
    ::safeboot
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Schritt 2:
Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter
    (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
    Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehakt)
    • Show all (sollte abgehakt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Frage:
Was ist Laufwerk I: ?

Und eine Bitte selbst wenn du formatieren willst, lass uns bitte diese Dateien noch einsammeln, das ist eine Variante, mit der wir es bisher noch nicht zu tun hatten.

ellrolschell 05.01.2013 14:08
Hallo ryder,
zunächst zu Deiner Frage: I: ist ein DVD-RW-Laufwerk.
SystemLook habe ich schon laufen lassen, habe aber einige Fragen zu der gmer.exe (habe ich abgebrochen):
1. Nach Download bekomme ich nur die Aufforderung auszuführen oder abzubrechen (keine Möglichkeit auf Desktop zu speichern)
2. IAT/EAT Haken entfernen ist klar
3. Voreinstellung ansonsten wie folgt: Haken bei "Quickscan", kein Haken bei "C:\" und kein Haken bei "H:\" und kein Haken bei "Show all"
Ist das so ok?
Nach dem Abbruch kam die Meldung "Warning gmer has found...." jedoch nur mit Button "ok"
Formatieren gehe ich erst an, wenn Du mir dies rätst; das seltsame bei dieser Infizierung ist, dass offensichtlich nichts negatives passiert!?
Roland

ryder 05.01.2013 16:34
Das ist eine neue Version und wir kennen sie noch nicht so ganz.

Nimm einfach nur den Haken bei IAT weg und scanne. Lass alles so wie es ist.

ellrolschell 05.01.2013 19:07
So nun die zwei Dateien; übrigens ist die Warnmeldung von Norman mit Ausnahme des einen Mals nach dem ESET Scan bis jetzt nicht wieder aufgetaucht.
Roland

SystemLook:

Code:
SystemLook 30.07.11 by jpshortstuff
Log created at 13:40 on 05/01/2013 by Roland
Administrator - Elevation successful

========== filefind ==========

Searching for "ntqcfvte"
No files found.

Searching for "pngudv6q"
No files found.

Searching for "GMSIPCI"
No files found.

========== regfind ==========

Searching for "ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NTQCFVTE\0000\Control]
"ActiveService"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ntqcfvte\Enum]
"0"="Root\LEGACY_NTQCFVTE\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000]
"Service"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000]
"DeviceDesc"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NTQCFVTE\0000\Control]
"ActiveService"="ntqcfvte"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte]
"ImagePath"="\??\C:\WINDOWS\system32\ntqcfvte.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntqcfvte\Enum]
"0"="Root\LEGACY_NTQCFVTE\0000"

Searching for "pngudv6q"
No data found.

Searching for "GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GMSIPCI\Enum]
"0"="Root\LEGACY_GMSIPCI\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI\0000]
"Service"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GMSIPCI\0000]
"DeviceDesc"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
"ImagePath"="\??\I:\INSTALL\GMSIPCI.SYS"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI]
"DisplayName"="GMSIPCI"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GMSIPCI\Enum]
"0"="Root\LEGACY_GMSIPCI\0000"

========== service ==========

ntqcfvte - Unable to open Service Handle.

GMSIPCI
GMSIPCI
(No Description)
Current Status: Stopped
Startup Type: Demand
Error Control: Critical
Binary: \??\I:\INSTALL\GMSIPCI.SYS
Group: (none)
SafeBoot:
Dependencies:
(none)
Dependant Services:
(none)

========== SafeBoot Info ==========

Alternate Shell: cmd.exe

--- Minimal ---
AppMgmt
Base
Boot Bus Extender
Boot file system
CryptSvc
DcomLaunch
dmadmin
dmboot.sys
dmio.sys
dmload.sys
dmserver
EventLog
File system
Filter
HelpSvc
Netlogon
PCI Configuration
PlugPlay
PNP Filter
Primary disk
RpcSs
SCSI Class
sermouse.sys
sr.sys
SRService
System Bus Extender
vds
vga.sys
vgasave.sys
Wdf01000.sys
WinMgmt
WudfSvc
(Universal Serial Bus controllers)
(CD-ROM Drive)
(DiskDrive)
(Standard floppy disk controller)
(Hdc)
(Keyboard)
(Mouse)
(PCMCIA Adapters)
(SCSIAdapter)
(System)
(Floppy disk drive)
(Volume shadow copy)
(Volume)
(Human Interface Devices)

--- Network ---
AFD
AppMgmt
Base
Boot Bus Extender
Boot file system
Browser
CryptSvc
DcomLaunch
Dhcp
dmadmin
dmboot.sys
dmio.sys
dmload.sys
dmserver
DnsCache
EventLog
File system
Filter
HelpSvc
ip6fw.sys
ipnat.sys
LanmanServer
LanmanWorkstation
LmHosts
Messenger
NDIS
NDIS Wrapper
Ndisuio
NetBIOS
NetBIOSGroup
NetBT
NetDDEGroup
Netlogon
NetMan
Network
NetworkProvider
NtLmSsp
PCI Configuration
PlugPlay
PNP Filter
PNP_TDI
Primary disk
rdpcdd.sys
rdpdd.sys
rdpwd.sys
rdsessmgr
RpcSs
SCSI Class
sermouse.sys
SharedAccess
sr.sys
SRService
Streams Drivers
System Bus Extender
Tcpip
TDI
tdpipe.sys
tdtcp.sys
termservice
vga.sys
vgasave.sys
Wdf01000.sys
WinMgmt
WudfSvc
WZCSVC
(Universal Serial Bus controllers)
(CD-ROM Drive)
(DiskDrive)
(Standard floppy disk controller)
(Hdc)
(Keyboard)
(Mouse)
(Net)
(NetClient)
(NetService)
(NetTrans)
(PCMCIA Adapters)
(SCSIAdapter)
(System)
(Floppy disk drive)
(Volume)
(Human Interface Devices)

-= EOF =-
Gmer.txt:

Code:
GMER 2.0.18327 - hxxp://www.gmer.net
Rootkit scan 2013-01-05 18:53:09
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\00000074 Hitachi_HDT725032VLA380 rev.V54OA52A 298,09GB
Running: 3p8re4xy.exe; Driver: C:\DOKUME~1\Roland\LOKALE~1\Temp\pxtdrpob.sys


---- System - GMER 2.0 ----

SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwCreateFile [0xAE6E53C4]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwCreateProcess [0xAE6E3F7C]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwCreateProcessEx [0xAE6E3FAC]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwCreateThread [0xAE6E3FDC]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwSetSystemInformation [0xAE6E551C]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwTerminateProcess [0xAE6E4D0A]
SSDT    \??\C:\Programme\Norman\Ngs\Bin\nprosec.sys (Process Security Driver/Norman ASA)                              ZwWriteVirtualMemory [0xAE6E4F60]

Code    \??\C:\WINDOWS\system32\ntqcfvte.sys (New Technology Quality Browser Support/New Technology Quality, Ltd.)    ZwResumeThread [0xAE48376E]

---- Kernel code sections - GMER 2.0 ----

?        Combo-Fix.sys                                                                                                  Das System kann die angegebene Datei nicht finden. !
.text    C:\WINDOWS\system32\DRIVERS\ati2mtag.sys                                                                      section is writeable [0xF5F3D000, 0x2ACED8, 0xE8000020]
.text    C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                      section is writeable [0xAB5B1000, 0x328BA, 0xE8000020]
.pklstb  C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                      entry point in ".pklstb" section [0xAB5F5000]
.relo2  C:\WINDOWS\system32\drivers\ACEDRV07.sys                                                                      unknown last section [0xAB611000, 0x8E, 0x42000040]
.vmp2    C:\WINDOWS\system32\drivers\acedrv11.sys                                                                      entry point in ".vmp2" section [0xAAFF369D]
.text    C:\WINDOWS\system32\DRIVERS\atksgt.sys                                                                        section is writeable [0xAAE75300, 0x3B6D8, 0xE8000020]
.text    C:\WINDOWS\system32\DRIVERS\lirsgt.sys                                                                        section is writeable [0xF77A7300, 0x1BEE, 0xE8000020]
?        C:\ComboFix\catchme.sys                                                                                        Das System kann den angegebenen Pfad nicht finden. !
?        C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                                                    Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 2.0 ----

.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtCreateFile + 6                            7C91D0B4 4 Bytes  [28, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtCreateFile + B                            7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtMapViewOfSection + 6                      7C91D524 4 Bytes  [28, 93, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtMapViewOfSection + B                      7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenFile + 6                              7C91D5A4 4 Bytes  [68, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenFile + B                              7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessToken + 6                      7C91D614 4 Bytes  CALL 7B922DAA
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessToken + B                      7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessTokenEx + 6                    7C91D624 4 Bytes  [A8, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenProcessTokenEx + B                    7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThread + 6                            7C91D664 4 Bytes  [68, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThread + B                            7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B922E1B
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 90, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B922F49
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationFile + 6                    7C91DC64 4 Bytes  [28, 91, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationFile + B                    7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationThread + 6                  7C91DCB4 4 Bytes  [28, 92, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtSetInformationThread + B                  7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtUnmapViewOfSection + 6                    7C91DF14 4 Bytes  [68, 93, 57, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[1836] ntdll.dll!NtUnmapViewOfSection + B                    7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtCreateFile + 6                            7C91D0B4 4 Bytes  [28, D0, EB, 00] {SUB AL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtCreateFile + B                            7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtMapViewOfSection + 6                      7C91D524 4 Bytes  [28, D3, EB, 00] {SUB BL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtMapViewOfSection + B                      7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenFile + 6                              7C91D5A4 4 Bytes  [68, D0, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenFile + B                              7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, D1, EB, 00] {TEST AL, 0xd1; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessToken + 6                      7C91D614 4 Bytes  CALL 7B92C1EA
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessToken + B                      7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessTokenEx + 6                    7C91D624 4 Bytes  [A8, D2, EB, 00] {TEST AL, 0xd2; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenProcessTokenEx + B                    7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThread + 6                            7C91D664 4 Bytes  [68, D1, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThread + B                            7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, D2, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B92C25B
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, D0, EB, 00] {TEST AL, 0xd0; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B92C389
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationFile + 6                    7C91DC64 4 Bytes  [28, D1, EB, 00] {SUB CL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationFile + B                    7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationThread + 6                  7C91DCB4 4 Bytes  [28, D2, EB, 00] {SUB DL, DL; JMP 0x4}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtSetInformationThread + B                  7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtUnmapViewOfSection + 6                    7C91DF14 4 Bytes  [68, D3, EB, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2288] ntdll.dll!NtUnmapViewOfSection + B                    7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtCreateFile + 6                            7C91D0B4 4 Bytes  [28, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtCreateFile + B                            7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtMapViewOfSection + 6                      7C91D524 4 Bytes  [28, 07, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtMapViewOfSection + B                      7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenFile + 6                              7C91D5A4 4 Bytes  [68, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenFile + B                              7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessToken + 6                      7C91D614 4 Bytes  CALL 7B92561E
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessToken + B                      7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessTokenEx + 6                    7C91D624 4 Bytes  [A8, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenProcessTokenEx + B                    7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThread + 6                            7C91D664 4 Bytes  [68, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThread + B                            7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B92568F
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 04, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B9257BD
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationFile + 6                    7C91DC64 4 Bytes  [28, 05, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationFile + B                    7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationThread + 6                  7C91DCB4 4 Bytes  [28, 06, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtSetInformationThread + B                  7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtUnmapViewOfSection + 6                    7C91DF14 4 Bytes  [68, 07, 80, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[2408] ntdll.dll!NtUnmapViewOfSection + B                    7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtCreateFile + 6                            7C91D0B4 4 Bytes  [28, 74, 6D, 00] {SUB [EBP+EBP*2+0x0], DH}
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtCreateFile + B                            7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtMapViewOfSection + 6                      7C91D524 4 Bytes  [28, 77, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtMapViewOfSection + B                      7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenFile + 6                              7C91D5A4 4 Bytes  [68, 74, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenFile + B                              7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessToken + 6                      7C91D614 4 Bytes  CALL 7B92438E
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessToken + B                      7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessTokenEx + 6                    7C91D624 4 Bytes  [A8, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenProcessTokenEx + B                    7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThread + 6                            7C91D664 4 Bytes  [68, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThread + B                            7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B9243FF
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 74, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B92452D
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationFile + 6                    7C91DC64 4 Bytes  [28, 75, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationFile + B                    7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationThread + 6                  7C91DCB4 4 Bytes  [28, 76, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtSetInformationThread + B                  7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtUnmapViewOfSection + 6                    7C91DF14 4 Bytes  [68, 77, 6D, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[3320] ntdll.dll!NtUnmapViewOfSection + B                    7C91DF19 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtCreateFile + 6                            7C91D0B4 4 Bytes  [28, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtCreateFile + B                            7C91D0B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtMapViewOfSection + 6                      7C91D524 4 Bytes  [28, 23, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtMapViewOfSection + B                      7C91D529 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenFile + 6                              7C91D5A4 4 Bytes  [68, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenFile + B                              7C91D5A9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcess + 6                            7C91D604 4 Bytes  [A8, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcess + B                            7C91D609 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessToken + 6                      7C91D614 4 Bytes  CALL 7B92313A
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessToken + B                      7C91D619 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessTokenEx + 6                    7C91D624 4 Bytes  [A8, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenProcessTokenEx + B                    7C91D629 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThread + 6                            7C91D664 4 Bytes  [68, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThread + B                            7C91D669 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadToken + 6                        7C91D674 4 Bytes  [68, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadToken + B                        7C91D679 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadTokenEx + 6                      7C91D684 4 Bytes  CALL 7B9231AB
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtOpenThreadTokenEx + B                      7C91D689 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryAttributesFile + 6                    7C91D714 4 Bytes  [A8, 20, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryAttributesFile + B                    7C91D719 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryFullAttributesFile + 6                7C91D7B4 4 Bytes  CALL 7B9232D9
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtQueryFullAttributesFile + B                7C91D7B9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationFile + 6                    7C91DC64 4 Bytes  [28, 21, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationFile + B                    7C91DC69 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationThread + 6                  7C91DCB4 4 Bytes  [28, 22, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtSetInformationThread + B                  7C91DCB9 1 Byte  [E2]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtUnmapViewOfSection + 6                    7C91DF14 4 Bytes  [68, 23, 5B, 00]
.text    C:\Programme\Google\Chrome\Application\chrome.exe[4876] ntdll.dll!NtUnmapViewOfSection + B                    7C91DF19 1 Byte  [E2]
---- Processes - GMER 2.0 ----

Library  C:\WINDOWS\system32\jpgzfrcv.dll (*** hidden *** ) @ C:\Programme\Google\Chrome\Application\chrome.exe [3676]  0x10000000                                                   

---- EOF - GMER 2.0 ----

ryder 05.01.2013 20:24
Sehr schön, danke

Wir werden jetzt mit der Keule rangehen:

Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://larusso.trojaner-board.de/Images/avenger.jpg
  1. Kopiere nun folgenden Text in das weiße Feld (bei -> "input script here")
    Code:
    Drivers to disable:
    ntqcfvte


    Drivers to delete:
    ntqcfvte


    Files to delete:
    C:\WINDOWS\system32\ntqcfvte.sys
    C:\WINDOWS\system32\jpgzfrcv.dll
    C:\WINDOWS\system32\pngudv6q.dll
  2. Setze den Haken bei Automatically disable any rootkits found
  3. Schließe alle laufenden Programme. Trenne Dich vom Internet.
  4. Starte Avenger mit Klick auf Execute
  5. Bestätige mit Yes den Neustart des Rechners.
  6. Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
    Poste mir in deiner nächsten Antwort den Inhalt der Avenger.txt

ellrolschell 06.01.2013 07:30
Guten Morgen,
anbei die avenge.txt Datei.
Zur Info falls wichtig: Beim Neustart kam folgende Windows-Meldung:
"Windows - kein Datenträger Exception Processing Message C0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c"; ist dann durch mehrmalige Drücken des "Wiederholen"-Buttons weggegangen.
Roland

Avenge.txt:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
hxxp://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ntqcfvte" disabled successfully.
Driver "ntqcfvte" deleted successfully.
File "C:\WINDOWS\system32\ntqcfvte.sys" deleted successfully.
File "C:\WINDOWS\system32\jpgzfrcv.dll" deleted successfully.
File "C:\WINDOWS\system32\pngudv6q.dll" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

ryder 06.01.2013 11:03
Okay das sieht gut aus. Hast du jetzt permanent Probleme beim booten oder war es nur das eine mal?

ellrolschell 06.01.2013 13:04
Habe gerade noch einmal gebootet; keine Probleme.
Aber noch zur Info:
Der Normanscanner läuft bei mir automatisch immer in der Nacht von Samstag auf Sonntag.
Heute morgen hatte er mir den Virus wieder gemeldet (vor dem Löschen mit Avenge!).
Habe mir nun noch einmal Norman SS angesehen, der folgendes noch in der Quarantäne stehen hat:

Dateiname Diagnose Datum
A0156899.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:11:01
A0157242.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:11:36
A0157397.exe W32/Rootkit.EODN 2013-01-06 02:12:21
A0157432.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:12:30
A0157685.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:12:58
A0157751.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:13:12
jpgzfrcv.dll W32/Suspicious_Gen5.DUJT 2013-01-06 02:52:15
jpgzfrcv.dll W32/Suspicious_Gen5.DUJT 2013-01-05 20:08:09
jpgzfrcv.dll.vir W32/Suspicious_Gen5.DUJT 2013-01-04 22:31:05

Bei der letzten Datei *.dll.vir kann es sein, dass ich diese mal erzeugt hatte; wollte die Datei durch Anhängen von .vir umbenennen, um sie dann löschen zu können.
Soll ich die Dateien in der Quarantäne jetzt einfach löschen?

Roland

ryder 06.01.2013 13:26
Ohne vollständigen Pfad bringt mir das gar nix.

Aber wenn du jetzt korrekt booten kannst ist das schon mal in Ordnung.

Gut. Dann müssen wir das nochmals kontrollieren. Bitte einmal noch Scan mit Combofix und dann noch ein Eset hinterher.

ellrolschell 06.01.2013 15:20
Nur zur Sicherheit, damit ich jetzt nichts falsch mache:
Scannen mit Combofix:
Vorhandene Combofix löschen; über obigen Download-Spiegel neu runterladen auf Desktop;
angebenen Text in notepad einfügen; als CFScript speichern und diese Datei auf Combofixsymbol ziehen?!
Scannen mit ESET:
Alles so wie oben angegeben?!

ryder 06.01.2013 15:33
Nein einfach nur CF starten ohne Skript.

Eset wie gehabt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:25 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131